News
Apps

Brave: Datenschutz-Browser sendet Benutzer-ID ohne Nachfrage

Update 8.6.2020 12:51 Uhr

Bild: Brave

Der Browser Brave wirbt damit, besonderen Wert auf die Privatsphäre und Werbefreiheit zu legen, doch versendet er ungefragt die Benutzer-ID in Form von Referral-Links an seine Affiliate-Partner. Dabei handelt es sich in erster Linie um Krypto-Handelsplattformen wie Coinbase und Binance, wie das Portal Decrypt herausgefunden hat.

Brave unterhält Partnerschaften zu zahlreichen Krypto-Unternehmen, womit die Macher des Browsers auch offen umgehen und Anwender zudem über das Finanzierungsmodell Brave Rewards an möglichen Werbeeinnahmen beteiligen. Dieses Feature sollte laut Brave allerdings ausschließlich per Opt-in zur Verfügung stehen und nur auf den ausdrücklichen Wunsch der Nutzer hin aktiviert werden. Dem ist aber nicht so.

So when you are using the @brave browser and type in "binance[.]us" you end up getting redirected to "binance[.]us/en?ref=35089877" - I see what you did there mates 😂
— CR1337 (@CR1337) June 6, 2020

Brave nutzt ungefragt Referral-Links

Ganz ohne ausdrückliches Zustimmungsverfahren sendet Brave per Referral-Link eine Benutzer-ID an seine Werbepartner und verdient damit Geld wenn sich ein Nutzer bei einem Partnerdienst anmeldet – selbst im anonymen Tor-Modus des Browsers.

Das Portal Decrypt fand unter anderem Referral-Links zu den Affiliate-Programmen der Krypto-Börsen Coinbase und Binance sowie den Krypto-Wallets Ledger und Trezor, nachdem sie sich die GitHub-Seite von Brave einmal genauer angesehen haben.

pic.twitter.com/GT9NFnE4uf
— CR1337 (@CR1337) June 6, 2020

Brave, dessen Unterbau wie bei Chrome, Edge oder Vivaldi auf Chromium setzt, soll die Brave- sowie Benutzer-ID, über die der Anwender optional an möglichen Einnahmen partizipieren kann, eigentlich nur auf expliziten Wunsch des Anwenders hin an seine Partner übermitteln.

Brave äußert sich und spricht von einem Fehler

Brendan Eich, ehemaliger CEO von Mozilla und aktuell Co-Founder und CEO von Brave, hat sich ebenfalls bereits auf die Vorwürfe hin zu Wort gemeldet. Zunächst verwies Brendan Eich auf das Affiliate-Partnerprogramm und rechtfertigte das Vorgehen, doch auf die steigende Kritik der Nutzer hin, sprach auch der CEO von Brave via Twitter von einem Fehler und versprach Nachbesserung.

1/ We made a mistake, we're correcting: Brave default autocompletes verbatim "https://t.co/hJd0ePInEw" in address bar to add an affiliate code. We are a Binance affiliate, we refer users via the opt-in trading widget on the new tab page, but autocomplete should not add any code.
— BrendanEich (@BrendanEich) June 6, 2020

I think you used "mistake" where you meant "accident". I never said it was accidental. We were treating it like a search query (which all big browsers do tag with an affiliate id to get paid from by the search provider). But a valid domain name is not a search query. Fixing.
— BrendanEich (@BrendanEich) June 7, 2020

Der Brave-Chef merkte allerdings an, dass die von Decrypt aufgedeckten Weiterleitungen respektive automatischen Vervollständigungen der URL keinerlei Nutzerdaten an die Werbepartner übermittelt hätten und ausschließlich dazu gedient hätten, Brave als Browser auf diesen Plattformen zu identifizieren.

Nutzer bemängeln fehlende Transparenz

Wie der CEO argumentierte, sei diese Praxis nie ein Geheimnis gewesen, denn der Code sei auf GitHub einsehbar. Auf Twitter häufen sich dennoch die Beschwerden von Nutzern. Diese richten sich vor allem gegen das Verschweigen dieser Praxis und gegen das fehlende Einholen der Zustimmung beim Anwender.

Update 09.06.2020 11:52 Uhr

Brave entschuldigt sich und bessert per Update nach

Die Macher hinter dem Browser Brave haben sich für die automatische Weiterleitung zu Affiliate-Partnern entschuldigt und bessern mit einem Update nach, das die bislang standardmäßige Vervollständigung in Brave deaktiviert und diese Weiterleitungen zukünftig verhindern soll.

Over the weekend, one of our users noticed that typing “binance.us” into Brave’s address bar added an affiliate code to the end of the address (commonly called a URL) that was typed in.

The bad news is that we made a mistake when adding affiliate codes and logic using them to suggest alternative completions shown in the drop-down under the address bar. The error was adding the affiliate code to the default completion for a small set of URLs, instead of only to the suggested alternative completions that users must pick manually.

We apologize to our users for this error.
Brave

Das Update auf die neue Version 1.9.80 des Browsers ohne automatische Vervollständigung ist ab sofort verfügbar. Der Quellcode von Brave kann nach wie vor auf der Entwickler-Plattform GitHub eingesehen werden.