USPS hat Kundenpostadressen mit Meta, LinkedIn und Snap geteilt

Wie Tech herausfand, gab der US-Postdienst die Postadressen seiner Online-Kunden an die Werbe- und Technologiegiganten Meta, LinkedIn und Snap weiter.

Am Mittwoch teilte der USPS mit, dass er sich des Problems angenommen und die Praxis eingestellt habe, mit der Begründung, er sei sich dessen „nicht bewusst“ gewesen.

Tech fand heraus, dass USPS Kundeninformationen über versteckte Datenerfassungscodes (auch als Tracking-Pixel bekannt) weitergab, die auf der gesamten Website verwendet wurden. Technologie- und Werbeunternehmen erstellen diese Art von Code, um Informationen über den Benutzer zu sammeln – beispielsweise welche Seiten er besucht – jedes Mal, wenn eine Webseite, die den Code enthält, im Browser des Kunden geladen wird.

Im Falle des USPS umfassten einige der erfassten Daten die Postanschriften angemeldeter USPS Informed Delivery-Kunden, die den Dienst nutzen, um Fotos ihrer eingehenden Post anzusehen, bevor diese ankommt.

Es ist nicht klar, wie viele Personen ihre Informationen gesammelt haben und wie lange. Informed Delivery hatte mehr als 62 Millionen Nutzer Stand: März 2024.

In einer Stellungnahme gegenüber Tech erklärte USPS-Sprecher Jim McKean: „Der Postdienst nutzt eine Analyseplattform für unsere eigenen internen Zwecke, damit wir die Nutzung unserer Produkte und Dienstleistungen verstehen und diese in aggregierter Form zur Vermarktung unserer Produkte verwenden können.“

„Der Postdienst verkauft oder stellt keine personenbezogenen Daten, die von dieser Analyseplattform erfasst werden, Dritten zur Verfügung. Uns war keine Konfiguration der Plattform bekannt, die personenbezogene Daten von der URL erfasste und diese ohne unser Wissen an soziale Medien weitergab.“

„Wir haben sofort Maßnahmen ergriffen, um dieses Problem zu beheben“, sagte der Sprecher, ohne jedoch zu sagen, welche Maßnahmen ergriffen wurden. Der Sprecher lehnte es ab, weitere Kommentare abzugeben.

Als wir ihn um einen Kommentar baten, gab Facebook-Sprecher Emil Vazquez eine Erklärung ab: „Wir haben in unseren Richtlinien klar zum Ausdruck gebracht, dass Werbetreibende keine sensiblen Informationen über Personen über unsere Business Tools senden sollten. Dies verstößt gegen unsere Richtlinien und wir klären Werbetreibende über die richtige Einrichtung der Business Tools auf, um dies zu verhindern. Unser System ist so konzipiert, dass es potenziell sensible Daten herausfiltert, die es erkennen kann.“

Sprecher von LinkedIn und Snap gaben auf Anfrage von Tech keinen unmittelbaren Kommentar ab.

Bei unseren Tests hat Tech festgestellt, dass die USPS-Website die Postanschrift eines angemeldeten USPS Informed Delivery-Kunden mit Meta, LinkedIn und Snap teilte. Tech testete dies, indem es den Netzwerkverkehr mithilfe von Tools überprüfte, die in die meisten modernen Browser integriert sind.

Unsere Tests haben ergeben, dass der Datenerfassungscode auf der USPS-Website nach der Anmeldung der Kunden die Adresse dieser von der Zielseite von „Informed Delivery“ ausliest und diese dann an die Unternehmen sendet.

Der Code sammelte auch andere Daten, wie etwa Informationen über den Computertyp und den Browser des Benutzers, die teilweise pseudonymisiert erschienen – im Wesentlichen so verschlüsselt, dass es für Menschen schwieriger ist, zu erkennen, woher die Daten kamen oder auf wen sie sich beziehen, indem anstelle der echten Kundennamen zufällige Kennungen verwendet wurden. Forscher warnen jedoch schon lange, dass pseudonyme Daten immer noch dazu verwendet werden können, scheinbar anonyme Personen wieder zu identifizieren.

Tech fand außerdem heraus, dass auf der USPS-Website eingegebene Sendungsverfolgungsnummern auch an Werbetreibende und Technologieunternehmen weitergegeben wurden, darunter Bing, Google, LinkedIn, Pinterest und Snap. Einige Sendungsverfolgungsdaten während des Transports wurden ebenfalls weitergegeben, beispielsweise der tatsächliche Standort der Sendung im Postsystem, selbst wenn der Kunde nicht auf der USPS-Website angemeldet war.

Der Sprecher des USPS wollte nicht sagen, ob der Postdienst die Technologieunternehmen auffordern wird, die von ihnen gesammelten Daten zu löschen.

Ein Sprecher des Office of Inspector General des USPS, der bundesstaatlichen Aufsichtsbehörde, die den Postdienst beaufsichtigt, gab bis Redaktionsschluss keinen Kommentar ab.

Der USPS ist die jüngste Organisation, die in den letzten Jahren die Verwendung von Web-Tracking-Codes eingeschränkt hat.

Im Jahr 2023 gaben das Telemedizin-Wellness-Startup Cerebral und die Alkoholentzugs-Apps Tempest und Monument bekannt, dass sie private Gesundheitsinformationen, darunter von ihren Nutzern eingereichte Beurteilungen, an Technologie- und Werbeunternehmen weitergegeben und den Tracking-Code inzwischen entfernt hatten.

Im selben Jahr leitete die Federal Trade Commission Zwangsmaßnahmen gegen den Gesundheitsdatengiganten GoodRx ein, der sich bereit erklärte, 1,5 Millionen US-Dollar für die Weitergabe von Gesundheitsdaten seiner Kunden an Werbetreibende zu zahlen. Auch das Online-Therapieunternehmen BetterHelp wurde dazu verurteilt, Patienten eine Entschädigung von 7,8 Millionen US-Dollar dafür zu zahlen, dass es auch die Antworten auf private Gesundheitsfragebögen weitergab.

Mit Kommentar von Meta aktualisiert.

tch-1-tech