Werbeanzeigen auf Seiten, wo keine sein sollten: Kooperiert amerikanischer ISP mit Werbedienstleister?

Zachary Henkel

Während eines Besuchs bei ihren Eltern entdeckten Robert Silvie und Zachary Henkel, unabhängig voneinander, ungewöhnliche Werbeanzeigen auf den Seiten von u.a. Apple, Bing und eBay. Silvie wusste, dass Bing keine Werbebanner unterhalb der Suchmaske anzeigt und auch ‚Zack‘ Henkel war sich sicher, dass Apple auf seiner „sorgfältig gestalteten weiß-grauen Homepage“ nicht freiwillig ein neongrünes Banner mit der Aufschrift „File For Free Online, H&R Block“ einblendet. Irgendwo zwischen Silvies beziehungsweise Henkels Rechner und den Seiten von Bing und Apple mussten die Werbeanzeigen eingeschleust worden sein – aber wo?

Zack schreibt auf seinem Blog, dass er anfangs davon ausging, dass entweder Apple den „worst cross-promotional deal ever“ eingegangen sei, oder sein Computer mit einer Malware infiziert sei.

Neither Silvie and Henkel were going to let a mystery like this go without solving it. Each embarked on a separate investigation and each came to the same conclusion: their parents‘ Internet provider was somehow involved in slapping ads onto webpages as they moved over the network.

Zachary Henkel
Zachary Henkel

Der ISP (Internet Service Provider) beider Elternpaare ist CMA Communications, ein Kabel-TV, Internet und Telefon-Anbieter für ländliche Gemeinden in Texas, Louisiana, Mississippi und Nevada.

Nachdem Henkel Werbeanzeigen auf verschiedenen Webseiten gefunden hatte, rief er diese erst mit seinem Android Smartphone, dann mit einem Tablet auf: sie wurden immer noch angezeigt.

I am not great at statistics, but I was fairly certain the probability of identical malware on all of these devices was low. So, I moved to thing that these devices all shared: the same wireless network.

Als er das Wi-Fi am Telefon abschaltete, um das Mobilfunknetz für die Datenverbindung zu nutzen, sah er keine Werbeanzeigen mehr. Als er es wieder anschaltete, kamen auch wieder die Anzeigen. Im HTML Code einer Webseite, welche die Werbung enthielt, fand er folgende Codezeile, die eine JavaScript Datei von r66t.com aufruft:

Screen Shot 2013-03-29 at 3.36.27 PM

Es stellte sich heraus, dass der R66T Code nicht nur Werbebanner hinzufügte, wo vorher keine waren, sondern auch existierende Banner überschrieb, zum Beispiel auf der Seite der Huffington Post.

Henkel wollte ausschließen, dass der Router seiner Eltern kompromittiert ist:

I ran a traceroute to see the route my internet requests were taking. There it was: an extra stop at a private IP address. I was soon able to show that HTTP internet traffic was being routed through a Squid proxy server. The proxy server had been setup by a company, R66T, that specializes in a few things, one being advertisement injection into webpages.

Auch Silvie fand heraus, dass die Banner nur von r66t.com kamen, wenn eine Webseite nicht über HTTPS ausgeliefert wurden. R66T beschreibt sich selbst als „one of the nation’s leading publisher of targeted content, information and advertising to private Wi-Fi and High-Speed Internet Access (HSIA) networks, conducting tens of millions of individual user sessions—approaching one-billion user-minutes per month.“ Laut Ars Technica ist eines ihrer Produkte für ein Hotel Wi-Fi Sytem eine „immer präsente Toolbar oder ein Rahmen um die Webseite herum, in dem relevante Inhalte und Informationen angezeigt werden“ sowie die Anzeigen von Konkurrenten „während der gesamten Web Session auf die schwarze Liste gesetzt werden“.

Im Gegensatz zu diesem Wi-Fi „Angebot“ zahlten die Eltern von Silvie und Henkel für ihren Internetzugang und die Werbeanzeigen waren mitten auf der entsprechenden Seite und nicht in einem Rahmer darum oder einer Toolbar.

In its privacy policy, R66T says that it partners with Internet providers and that end users should love the service it provides. Silvie quickly blocked all access to R66T domains on his machine and the ads disappeared; Henkel did likewise, but his anger drove him further. He suspected that CMA had partnered with R66T in an attempt to make more money from each Internet connection, but he couldn’t prove it.

Henkel rief die CMA Hotline an, dort wurde ihm nicht so recht geglaubt. Er reichte daraufhin eine Beschwerde bei der Federal Communications Commission ein, die ihn jedoch an die Federal Trade Commission verwies.

Mick Hall von R66T antwortete auf sehr direkte Fragen nach der Vderbindung zwischen R66T und CMA, dass er gerade in Mexico City sei, viele Meetings und eine schlechte Internetverbindung habe. Nächste Woche werde er mehr sagen, versprach Hall. Es heißt also warten.

Die ganze Sache erinnert stark an Phorm, einen britischen Werbedienstleister, der durch Kooperation mit ISPs und DPI (Deep Packet Inspection) Predictive Behavioral Targeting anbietet. Das System von Phorm analysiert den kompletten Internetverkehr der Kundinnen und Kunden eines kooperierenden ISP und erstellt anhand dieser Daten individuelle und, laut Phorm, anonyme Werbeprofile, die eine zielgerichtete Platzierung von Werbung ermöglichen. 2009 hatte die Europäische Kommission ein Vertragsverletzungsverfahren gegen das Vereinigte Königreich eingeleitet, sie sah „Probleme bei der Umsetzung der EU-Vorschriften zum Datenschutz in der elektronischen Kommunikation“. Im September 2010 verwies die Kommission den Fall an den Europäischen Gerichtshof. Kurz darauf änderte UK seinen Regulation of Investigatory Powers Act (Gesetz zur Regelung der Telekommunikationsüberwachung) dahingehend, dass Verweise auf „stillschweigende Zustimmung“ entfernt wurden. Eine neue Sanktion gegen unrechtmäßiges Abfangen und das Verletzen der Vertraulichkeit in der elektronischen Kommunikation eingeführt. Im Januar 2012 wurde die Anklage schließlich fallen gelassen, da, laut Kommission, „UK law and institutions are now well equipped to enforce the privacy rights of users“.

4 Ergänzungen

  1. Ich bin sprachlos.
    Das ist so ziemlich das ekelhafteste was man als ISP tun kann.
    Um es mal mit Fefe zu sagen: Wieso sitzen die nicht im Knast?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.