Neuer Datenskandal: Website leakte Echtzeit-Locationdaten fast aller US-Smartphones

Cambridge Analytica war bloß ein Beispiel dafür, wie schnell aus großen Datenmengen große Datenskandale werden. Einen weiteren beklagen nun US-Nutzer und -Politiker. LocationSmart, ein Cloud Location Service, hat mit einem Tool die Locationdaten von Nutzern, deren Smartphones mit den Anbietern AT&T, Verizon, Sprint und T-Mobile verbunden sind, gesammelt. Diese Daten sollten autorisierten Kunden zur Überprüfung der Lokalität der eigenen Geräte dienen; doch letztlich ließen sich dank geringer Sicherheitsvorkehrungen all die Daten auch von Unautorisierten einsehen. Damit erfährt die Datensicherheit in den USA einen weiteren Tiefpunkt.

LocationSmart als nächster Problemfall

Wer sich Illusionen macht, dass durch die Nutzung von Smartphones und Tablets keine Spuren in Bezug auf die Locations hinterlassen werden, sollte diese Einstellung ohnehin überdenken. In einer vernetzten Welt kann kein Anspruch auf völlige Anonymität bestehen. Diesen Preis zahlen wir für maßgeschneiderte Werbung, Ausgehvorschläge oder einfach die beste Verbindung mit dem Netz. Und dass diese Daten in angemessenem Umfang gesammelt oder verarbeitet werden, ist nurmehr eine logische Folge.

In den USA scheint es jedoch einige Probleme mit der Aufrechterhaltung von Datenschutzmaßnahmen zu geben. Das zeigte Cambridge Analytica; wobei die für den Skandal verantwortliche App vermutlich kein Einzelfall war. Nun sorgt der Fall LocationSmart für Aufsehen. Das Unternehmen bietet die Analyse von Echtzeit-Locationdaten an. So sollen Kunden geographisch relevante Anzeigen ausgespielt oder aber mit dem Internet of Things verbundene Geräte getrackt werden können.

Das Problem, dass allerdings aufgetreten ist, hängt mit einer Demo zusammen. Der Sicherheitsresearcher Robert Xiao hatte eine Demo von LocationSmart ausprobiert. Diese sollte Nutzern anzeigen, wo genau ihre Geräte sich befinden. Allerdings war es Xiao nach Angaben von Brian Krebs bei KrebsOnSecurity zufolge möglich die Sicherheitsvorkehrungen bei der Demo zu umgehen.

 And the gist of it is I can track most peoples’ cell phone without their consent,

wird er von Krebs zitiert. Daraufhin arbeiteten Krebs und Xiao zusammen und experimentierten mit fünf Nutzern, die sie benachrichtigten, zusammen. Von den Geräten dieser Nutzer ließen sich beinah perfekte Locationdaten ermitteln. Den Hack der Demo hat Xiao online dokumentiert.

Die Reaktion von LocationSmart

Zunächst hieß es vonseiten des Unternehmens, man gebe keine Daten an Dritte weiter.

We make it available for legitimate and authorized purposes. It’s based on legitimate and authorized use of location data that only takes place on consent. We take privacy seriously and we’ll review all facts and look into them,

erklärte Mario Proietti, CEO von LocationSmart, gegenüber Krebs am Telefon. Allerdings wird in einem späteren Statement eingeräumt, dass es zu einem Vorfall kam.

The vulnerability of the consent mechanism recently identified by Mr. Robert Xiao, a cybersecurity researcher, on our online demo has been resolved and the demo has been disabled. We have further confirmed that the vulnerability was not exploited prior to May 16th and did not result in any customer information being obtained without their permission. On that day as many as two dozen subscribers were located by Mr. Xiao through his exploitation of the vulnerability. Based on Mr. Xiao’s public statements, we understand that those subscribers were located only after Mr. Xiao personally obtained their consent. LocationSmart is continuing its efforts to verify that not a single subscriber’s location was accessed without their consent and that no other vulnerabilities exist. LocationSmart is committed to continuous improvement of its information privacy and security measures and is incorporating what it has learned from this incident into that process.

Im Vorfeld der Enthüllung hatte bereits der Anbieter Securus, der die Daten von den großen Mobilfunkanbietern erhalten hatte, mit geleakten Daten für Furore gesorgt. Wie Motherboard berichtet, war es einem Hacker gelungen 2.800 Usernamen, E-Mail-Adressen, Passwörter, Telefonnnummern usw. von Securus zu ermitteln. Securus, das eigentlich für die Überprüfung von Gefängnisinsassen Daten von Smartphones ermittelt, kann laut Angaben der New York Times auch Locationdaten von einer Vielzahl der US-Nutzer einsehen. Und zwar, weil man auf Mobilfunkdaten zugreift, die von Anbietern wie LocationSmart gesammelt werden.

Die Reaktionen der Mobilfunkanbieter

Da die Mobilfunkanbieter die Daten der zig Millionen US-Nutzer überhaupt erst erheben, ist ihre Sicht auf die doch recht einfache Zugänglichkeit dieser Daten von großem Interesse. Während sich alle vier genannten Anbieter, Sprint, AT&T, T-Mobile und Verizon einig zeigten, dass man nur bei Gesetzesvollstreckungen oder mit dem Einverständnis der User Daten weitergibt, gab ein Sprecher von AT&T bei KrebsOnSecurity mehr preis.

If we learn that a vendor does not adhere to our policy we will take appropriate action.

Doch wie solche Maßnahmen aussehen, bleibt unklar. Vonseiten T-Mobiles heißt es wiederum:

We have addressed issues that were identified with Securus and LocationSmart to ensure that such issues were resolved and our customers’ information is protected. We continue to investigate this.

Diese Beteuerungen sind jedoch nebensächlich. Das Kind war ja bereits in den Brunnen gefallen. Und die Daten durch einen Mangel an Sicherheitsvorkehrungen für jedwede Leute zugänglich; auch solche mit kriminellen Absichten.

Was bieten die Locationdaten in Echtzeit?

Es stellt ein erhebliches Sicherheitsrisiko dar, wenn von allen vernetzten Geräten der aktuelle Aufenthaltsort an irgendwelche fremden Leute gelangen kann. Demnach könnten Einbrecher sich gezielt auf Haushalte konzentrieren, von denen sie wissen, das vermutlich niemand zu Hause ist. Natürlich ist bei der Vielzahl der Smartphones, Tablets, Smart Speaker etc. pro Haushalt nicht immer ein völlig klares Bild davon zu erhalten, wer sich gerade wirklich wo befindet. Im Großen und Ganzen aber finden dich die Besitzer der Smartphones genau dort, wo auch ihr Gerät ist.

Zusätzlich zu den kriminellen Potentialen des Leaks ist ebenso die Vorstellung beängstigend, dass Personen oder auch Unternehmen ohne konkrete Autorisierung die Bewegungen des Alltags so detailgetreu nachzeichnen können.

LocationSmart steht lediglich stellvertretend für eine Lücke im Sicherheitssystem, dürfte aber wiederum kein Einzelfall sein. Bisher hat der „Vorfall“ noch keine allzu hohen Wellen geschlagen. Wahrscheinlich, weil die Daten nicht für einen eindeutigen Zweck missbraucht wurden. Nicht, dass das nicht der Fall hätte sein können. Ein viel größeres Problem ist womöglich die allem Anschein nach recht uneingeschränkte Weitergabe von Daten durch die Mobilfunkanbieter. Senator Ron Wyden aus Oregon bat in einem Brief an die Federal Communications Commission (FCC) der USA, man solle die Praktiken der Anbieter näher untersuchen. Er schreibt auch:

I am also asking the major wireless carriers to investigate their own practices and the obvious potential for abuse.

Vielleicht sollten sich die Entscheider im Kommunikationssektor Gedanken machen, ob es nicht bestimmten Grundsätzen widerspricht, dass die Weitergabe von solch detaillierten Daten, die auch ohne das Hacking an der Tagesordnung ist, keiner strengeren Kontrolle untersteht. Wer letztlich die Verantwortung trägt, wenn das Gros der US-Bürger potentiell seine Locationdaten an jeden preisgibt, bleibt auch aufgrund der eingeschränkten Aufklärungsarbeit schleierhaft.

Der Bruch mit der Privatssphäre, der von Anbietern im Mobilfunksektor ausgeht, wenn sie Daten weitergeben und die Folgen dessen nicht ermessen können, scheint bei den US-Nutzern durchaus eine Besorgnis hervorzurufen. Und nicht wenige fragen nach der gesetzlichen Regelung solcher Schwachstellen beim Datenschutz. Aber gleichzeitig sind Anbieter wie T-Mobile und AT&T sehr mächtige Unternehmen – und die Daten von all ihren Kunden ein äußerst begehrtes Produkt. Offiziell können die Daten der Privatpersonen nicht ohne Weiteres an Dritte gelangen. Doch genau das tun sie. Immer wieder.