Die BiDi OÖ verschickt regelmäßig eine Infomail an ihre LuL., so wie das z.B. auch das BMBWF macht. Der wesentliche Unterschied ist aber, dass die BiDi OÖ nachvollziehen kann welche LuL. wann und wo die Infomail lesen.
Wir haben mittlerweile mit der Bildungsdirektion Kontakt aufgenommen und hoffen auf eine Trackingfreie Lösung.
Wie funktioniert das Tracking technisch? Das erste was auffällt ist, dass Thunderbird beim Anzeigen der E-Mail Daten von …brevo.net nachladen möchte.
Unsere E-Mail-Adresse hat brevo.net schon bekommen. Jetzt bekommen sie auch noch unsere IP-Adresse, wenn wir das Nachladen erlauben. Sucht man im Quelltext der Mail nach „img src“ findet man einige Einträge, die interessant aussehen – die Links zu den Bildern, die Thunderbird anzeigen möchte. Auffällig ist jedoch, dass alle Bilder auch einen Parameter „u“ haben, der nicht notwendig wäre und der das Tracking erst ermöglicht. Ich gehe davon aus, dass „u“ für User steht, der das Bild herunterlädt. Analysiert man die gleichen E-Mails der Kolleg:innen, dann fällt eben auf, dass alles, außer dem Parameter „u“ ident ist. Somit kann brevo.net jede Lehrerin/jeden Lehrer eindeutig identifizieren.
Hier ein paar Beispiele:
<img src="https://88pq0.img.sp1-brevo.net/im/sh/NcaK3TvGRDYR.png?u=XrVElij7PJZGeEwR2HM9XPZ84Yb9bLIa"
<img src="https://88pq0.img.sp1-brevo.net/im/sh/zhwmliCfGIaj.jpg?u=1BpAyz2gMiWnccjSQqaaDHYOcPYkwro2Ix
<img src="https://88pq0.img.sp1-brevo.net/im/sh/zwV5jB6xUW28.jpeg?u=2ApAyz3gMiWndgMRTrCXLkSTL3B5arNWBv"Manche Mailclients laden beim Betrachten der Mail die Bilder ungefragt herunter und somit ist man der möglichen Überwachung unfreiwillig ausgeliefert.
Aber nicht nur die Bilder enthalten Parameter, die den Benutzer identifizieren, sondern auch Links, auf die in der Mail geklickt werden kann.
Person A erhält den Link
https://88pq0.r.sp1-brevo.net/mk/cl/f/sh/1t6Af4OiGsFxgGB1wVp8RUxAdKlwUW/UC5dtE03ZGK4
Person B erhält den Link
https://88pq0.r.sp1-brevo.net/mk/cl/f/sh/1t6Af4OiGsFxgBBV7zxrO0h6y06aYO/UC5dtE03ZGK4
Um das Tracking zu unterbinden müssten beide Links gleich sein. Generell stellt sich die
Frage, warum die Links nicht direkt auf das eigentliche Ziel
(https://rundschreiben.bmbwf.gv.at/rundschreiben/?id=1314) verlinken sondern den
Umweg über sp1-brevo.net. gehen, denn nur so ist das Tracking überhaupt möglich. Das würde auch verhindern, dass brevo.net weitere Informationen der LuL. bekommt. Das wären zum Beispiel
- IP-Adresse
- Browser
- Betriebssystem
- Zeitzone
- Uhrzeit
- Sprache
- ….
Das BMBWF zeigt vor, wie man LuL. datensparsam kontaktiert. Wir hoffen, dass die BiDi dem Beispiel des BMBWF folgt.
Bild von Muhammad Ribkhan auf Pixabay
0 Kommentare