Mike Kuketz stellte bei seiner Überprüfung fest, dass die Android App des international renommierten VPN-Anbieters NordVPN fleißig Daten aufzeichnet. Diese werden an mehrere Drittanbieter übertragen, wo sie den einzelnen Nutzern zugeordnet werden können. Begründet wird die Maßnahme mit der Verbesserung der Effektivität von Marketing-Kampagnen.
Auf seinem Blog testete der Karlsruher Penetrationstester Mike Kuketz Version 3.9.8. der Android App des Anbieters NordVPN. Kuketz stellte bei der Analyse der verschickten Daten einige Tracker fest. Außerdem wird die E-Mail-Adresse des Abonnenten bei seiner Registrierung, zusammen mit eindeutigen Identifikationsmerkmalen wie der Google-Advertising-ID, an die US-amerikanische Marketing-Firma Iterable Inc. verschickt.
Mehrere auskunftsfreudige Tracker in der App entdeckt
Der Fachmann hält zudem fest, dass bei dieser App fünf weitere Tracker namens Tune, Google Firebase Analytics, Google CrashLytics, Google Analytics und AppsFlyer im Einsatz sind. AppsFlyer überträgt beispielsweise persönliche Daten, wie das eingesetzte Gerät nebst Hersteller, der Mobilfunkanbieter, Ladezustand der Batterie, die jeweilige Google Advertising-ID, die Bildschirmgröße des Geräts, die Gyro-Sensor-Daten, die LineageOS Build-Version und die Konnektivität des Smartphones.
Datenschutzerklärung von NordVPN lückenhaft
In der Datenschutzerklärung wird den Konsumenten versprochen, man greife nur auf die allerwichtigsten Informationen zu, um die Funktionalität der Webseite und der Apps zu gewährleisten. Das stimmt aber offensichtlich nicht. Dort findet man derzeit lediglich den Hinweis darauf, dass NordVPN die Daten der App nicht länger als zwei Jahre speichert. Ob bzw. welche Daten NordVPN mit Drittanbietern teilt, darüber setzt man die Kunden leider nicht in Kenntnis. Auch der Einsatz der verschiedenen Tracker und der Verbleib der darüber generierten Daten bleibt unerwähnt.
Auf seine Anfrage hin wird ihm mitgeteilt, die gesammelten Informationen hätten nichts mit der Analyse des Nutzungsverhaltens der User gemeinsam. Dies diene der Bestimmung der Effizienz ihrer Marketing-Kampagnen. Der Support führt hingegen nicht aus, warum man die Weitergabe nicht in der Datenschutzerklärung erwähnt. Und auch nicht, warum den Kunden dies bei ihrer Registrierung nicht mitgeteilt wird. Die Übermittlung einer E-Mail-Adresse in einem derart sensiblen Umfeld wie dem eines VPN-Anbieters, hält der Penetrationstester für “äußerst fragwürdig“. Später nach Eingang einiger Beschwerden und Nachfragen wird die Datenschutzerklärung zwar erweitert, sie bleibt aber inhaltlich nebulös. Man erklärt zwar, warum NordVPN die E-Mail-Adresse selbst benötigt. Aber nicht, warum es wichtig ist, sie bei der Registrierung an Fremdfirmen zu übertragen. “Spätestens jetzt ist das ein Fall für die Datenschutzbehörden.”
Kukutz zieht auf seinem Blog eine erste Bilanz seines stichprobenartigen Tests:
“Persönlich würde ich die App sofort vom Smartphone entfernen und den Anbieter um eine Datenlöschung nach der DSGVO bitten – auch bei den Drittanbietern. Das Ergebnis wirft insgesamt kein gutes Bild auf die NordVPN-App bzw. den Anbieter selbst.”
Quelle; Tarnkappe
Auf seinem Blog testete der Karlsruher Penetrationstester Mike Kuketz Version 3.9.8. der Android App des Anbieters NordVPN. Kuketz stellte bei der Analyse der verschickten Daten einige Tracker fest. Außerdem wird die E-Mail-Adresse des Abonnenten bei seiner Registrierung, zusammen mit eindeutigen Identifikationsmerkmalen wie der Google-Advertising-ID, an die US-amerikanische Marketing-Firma Iterable Inc. verschickt.
Mehrere auskunftsfreudige Tracker in der App entdeckt
Der Fachmann hält zudem fest, dass bei dieser App fünf weitere Tracker namens Tune, Google Firebase Analytics, Google CrashLytics, Google Analytics und AppsFlyer im Einsatz sind. AppsFlyer überträgt beispielsweise persönliche Daten, wie das eingesetzte Gerät nebst Hersteller, der Mobilfunkanbieter, Ladezustand der Batterie, die jeweilige Google Advertising-ID, die Bildschirmgröße des Geräts, die Gyro-Sensor-Daten, die LineageOS Build-Version und die Konnektivität des Smartphones.
Datenschutzerklärung von NordVPN lückenhaft
In der Datenschutzerklärung wird den Konsumenten versprochen, man greife nur auf die allerwichtigsten Informationen zu, um die Funktionalität der Webseite und der Apps zu gewährleisten. Das stimmt aber offensichtlich nicht. Dort findet man derzeit lediglich den Hinweis darauf, dass NordVPN die Daten der App nicht länger als zwei Jahre speichert. Ob bzw. welche Daten NordVPN mit Drittanbietern teilt, darüber setzt man die Kunden leider nicht in Kenntnis. Auch der Einsatz der verschiedenen Tracker und der Verbleib der darüber generierten Daten bleibt unerwähnt.
Auf seine Anfrage hin wird ihm mitgeteilt, die gesammelten Informationen hätten nichts mit der Analyse des Nutzungsverhaltens der User gemeinsam. Dies diene der Bestimmung der Effizienz ihrer Marketing-Kampagnen. Der Support führt hingegen nicht aus, warum man die Weitergabe nicht in der Datenschutzerklärung erwähnt. Und auch nicht, warum den Kunden dies bei ihrer Registrierung nicht mitgeteilt wird. Die Übermittlung einer E-Mail-Adresse in einem derart sensiblen Umfeld wie dem eines VPN-Anbieters, hält der Penetrationstester für “äußerst fragwürdig“. Später nach Eingang einiger Beschwerden und Nachfragen wird die Datenschutzerklärung zwar erweitert, sie bleibt aber inhaltlich nebulös. Man erklärt zwar, warum NordVPN die E-Mail-Adresse selbst benötigt. Aber nicht, warum es wichtig ist, sie bei der Registrierung an Fremdfirmen zu übertragen. “Spätestens jetzt ist das ein Fall für die Datenschutzbehörden.”
Kukutz zieht auf seinem Blog eine erste Bilanz seines stichprobenartigen Tests:
“Persönlich würde ich die App sofort vom Smartphone entfernen und den Anbieter um eine Datenlöschung nach der DSGVO bitten – auch bei den Drittanbietern. Das Ergebnis wirft insgesamt kein gutes Bild auf die NordVPN-App bzw. den Anbieter selbst.”
Quelle; Tarnkappe
