Standortdaten von Millionen nordamerikanischen Handynutzern kompromittiert

Ein Unternehmen, das Standortdaten von Handynutzern in Nordamerika in Echtzeit verarbeitet, hat diese Daten versehentlich öffentlich verfügbar gemacht. Ein Fehler in der Website von LocationSmart erlaubte es jedem, den Aufenthaltsort einer Person abzurufen – und zwar ohne deren vorherige Zustimmung und auch ohne deren Wissen.

Die Daten kauft LocationSmart von Mobilfunkanbietern. Sie basieren auf den Standorten der Mobilfunkfasten, mit denen die Mobiltelefone von Nutzern verbunden sind.

LocationSmart hat auf seiner Website versehentlich Standortdaten von beliebigen Handynutzern in Nordamerika verfügbar gemacht (Screenshot: ZDNet.com).Auf seiner Website bot das Unternehmen potentiellen Kunden die Möglichkeit, seine Dienste und die Genauigkeit der Daten zu testen. Bevor jedoch die Standortdaten einer Person anhand ihrer Mobilfunknummer abgerufen werden konnten, musste der Nutzer eigentlich die Zustimmung dieser Person einholen, und zwar über eine einmalige SMS-Bestätigung.

Der Fehler führte jedoch dazu, dass bei Eingabe der Handynummer beziehungsweise vor Preisgabe der Standortdaten keine SMS-Bestätigung verschickt wurde. „Durch einen elementaren Fehler in der Website kann man den Zustimmungsteil überspringen und direkt zum Standort wechseln“, erklärte Robert Xiao, Student am Human-Computer Interaction Institute der Carnegie Mellon University, der den Fehler entdeckte.

„Die Folge davon ist, dass LocationSmart nie die notwendige Zustimmung eingeholt hat“, ergänzte der Forscher. „Es scheint dort keine Sicherheitskontrollen zu geben.“

Die Test-Seite wurde inzwischen abgeschaltet. Xiao hatte sich mit der Seite beschäftigt, nachdem Anfang der Woche ZDNet.com von dem Datenaustausch zwischen US-Mobilfunkanbietern in Nordamerika und LocationSmart berichtete. Zuvor hatte die New York Times gemeldet, dass ein ehemaliger Polizist ohne Gerichtsbeschluss Daten von einem LocationSmart-Kunden erhalten hatte, um einen Handynutzer zu überwachen.

Unklar ist, wie lange die Standortdaten von schätzungsweise bis zu 200 Millionen Nutzern frei verfügbar waren. Xiao zufolge prüfte eine API der Test-Seite nicht, ob eine Bestätigung des Nutzers vorliegt. Der Fehler wurde nicht nur von ZDNet.com, sondern auch vom Sicherheitsexperten Brian Krebs bestätigt. Ihm zufolge war es sogar möglich, die Bewegungen von Nutzern in Echtzeit zu überwachen. „Ein Freund von mir war auf Hawaii unterwegs und ich konnte sehen, wie sich seine Markierung über die Insel bewegt“, sagte Krebs. „Bei so etwas läuft es mir eiskalt den Rücken herunter.“

Kritik kam auch vom demokratischen US-Senator Ron Wyden. Ihm zufolge sind solche Sicherheitslücken ein Zeichen dafür, dass einige Technikfirmen der Sicherheit ihrer Nutzer keinen besonders hohen Wert beimessen. Gewinne seien wichtiger als Privatsphäre und Sicherheit. Er rief zudem die Regulierungsbehörde FCC auf, Maßnahmen zu ergreifen.

Tipp: Was haben Sie über Big Data abgespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.