Risiko für nationale Sicherheit: Hacker veröffentlicht Millionen Standort-Daten

11
Dieser Hack ist ein weltweites Sicherheitsrisiko.

Dieser Hack ist ein weltweites Sicherheitsrisiko.
picture alliance / Jochen Tack | Jochen Tack

Ein Datenhack könnte die nationale Sicherheit von Staaten gefährden.

Darin sind Millionen von Standort-Daten von Nutzern enthalten, die auch sensible Orte wie das Weiße Haus, den Kreml und Militärstützpunkte abdecken.

Auch beliebte deutsche Apps könnten Teil des Datenschatzes sein.

Ein russischer Hacker hat im russischsprachigen Cyberkriminellenforum XSS einen Datenschatz von Positionsdaten veröffentlicht, der nach ersten Analysen ein Sicherheitsrisiko für Militärs und Geheimnisträger weltweit darstellt.

Quelle der Daten ist laut dem Hacker-Posting ein digitaler Einbruch beim Daten-Broker Gravy Analytics.

Die veröffentlichten Daten sind nur eine Kostprobe aus dem Hack, der Hacker will einen deutlich größeren Datenschatz verkaufen.

Doch bereits die Kostprobe hat es in sich: Die 1,54 Gigabyte große Datei enthält 30 Millionen Positionsdatensätze von iPhone- und Android-Nutzern, vor allem aus den USA, zusammen mit den einmaligen sogenannten Advertising-IDs der Mobilgeräte.

Wer diese Daten analysiert, kann Bewegungsprofile erstellen – und aus den besuchten Adressen auch Rückschlüsse auf die Identität des jeweiligen Nutzers treffen.

Lest auch

Das ist die Nationale Sicherheits- und Verteidigungsindustriestrategie

Der Hack wirft ein Schlaglicht auf das Schatten-Geschäft internationaler Datenhändler und könnte zu einem weltweiten Datenschutz-Skandal führen. Auch deutsche Firmen könnten, falls sich die Daten als authentisch herausstellen, die Daten ihrer Nutzer an Gravy Analytics verkauft oder unfreiwillig weiter gegeben haben.

Diverse Sicherheitsforscher weltweit zeigen aktuell in ersten Analysen, wie gefährlich die Lage ist: „Hier handelt es sich nicht um ein typisches Datenleck, sondern um eine Bedrohung der nationalen Sicherheit“, warnt der französische Sicherheitsforscher Baptiste Roberts in seiner Untersuchung des Datenschatzes

„Die Stichproben umfassen Dutzende Millionen Standortdatenpunkte weltweit. Sie decken sensible Orte wie das Weiße Haus, den Kreml, den Vatikan, Militärstützpunkte und mehr ab.“

Auf X zeigt Roberts, wie er mittels einfacher Geo-Analysen Nutzer findet, die etwa regelmäßig beim Weißen Haus ein- und aus gehen, wo sie wohnen, wohin sie zum Abendessen gehen, wohin sie weltweit verreisen.

Lest auch

Von Microsoft bis Blackrock: Die Liste der großen US-Unternehmen, die in 2025 Personal abbauen

Die Daten können so etwa Rückschlüsse über Reisen von US-Militärs oder Politikern in Krisenregionen geben. Roberts zeigt weiter, wie er mittels der Daten die Standorte geheimer russischer Militäreinrichtungen auf der Krim aufdecken kann.

Die Datenpunkte sind erstaunlich aktuell, datieren aus den letzten Wochen des Jahres 2024.

Der israelische Sicherheitsforscher Alon Gal untersuchte die Quelle der Daten. Demnach kauft Gravy Analytics die Daten von den Betreibern diverser Mobil-Apps, deren Nutzer meist gar nicht wissen, dass sie mit der Nutzung auch ihre Ortsdaten preisgeben.

„Ihr genauer Standort wird über unzählige Apps verfolgt, sodass im Laufe der Zeit auch Ihr Standortverlauf offengelegt wird“, schreibt Gal, CEO der Anti-Hacker-Beratung HudsonRock aus Tel Aviv.

„Die Daten werden über viele beliebte Apps bereitgestellt, darunter Tinder, Grindr, 9Gag, Candy Crush und andere. Jeder Eintrag enthält eine eindeutige Telefonkennung, GPS-Koordinaten, die App, die die Daten bereitstellt, Benutzeragent, Telefontyp, Mobilfunkanbieter und mehr.“

Auch beliebte deutsche Apps tauchen auf der Liste auf

Gal hat eine Liste von mehr als 15.000 Apps veröffentlicht, die laut seiner Analyse zu dem Datenschatz von Gravy Online beigetragen haben.

Darin tauchen auch beliebte deutsche Apps auf, so etwa die Web.de-Mail-App von der deutschen 1&1 Mail & Media, oder eine Wetter-App des deutschen Anbieters Wetteronline.

Welt hat am Donnerstagnachmittag bei den deutschen Firmen angefragt, ob eine Geschäftsbeziehung zu Gravy Analytics, beziehungsweise zum Mutterunternehmen, dem Location-Data-Anbieter Unacast, besteht. 1&1 dementierte die Analyse aus Israel: „Unsere Apps erfassen keine Standortdaten. Außerdem haben wir mit Gravy Analytics oder Unacast nicht zusammengearbeitet“, so ein Sprecher. Auch Web.de dementiert, betroffen zu sein.

Lest auch

KI könnte künftig an ihre Grenzen stoßen, weil Daten fürs Trainieren ausgehen – bietet Google Deepmind eine Lösung?

Der Hack zeigt auf, wie App-Anbieter die Einverständnis-Erklärungen in ihren Apps dazu nutzen, die Nutzer zur Herausgabe von Daten zu überzeugen, die nicht nur für die nationale Sicherheit von Staaten gefährlich, sondern auch für die Nutzer selbst durchaus sensibel sind.

So lässt sich etwa aus den Daten die Positionsdaten von Nutzern der Dating-App Grindr herauslesen, die zu unfreiwilligen Outings führen könnten. Durch ihre Vorgehensweise umgehen und unterlaufen die Anbieter teils eklatant die Vorschriften der Europäischen Datenschutz-Grundverordnung.

Wie genau die Daten von europäischen Nutzern zum US-Anbieter Gravy Analytics gelangt sind, wird aus dem Datenschatz der Hacker nicht deutlich.

„Wie mitschuldig diese Apps sind, ist anhand der einzelnen Daten schwer zu sagen“, schreibt Analyst Gal. „Viele Apps integrieren Software Development Kits von Drittanbietern für Analysen, Werbung oder andere Zwecke.

Apps wie Grindr geben möglicherweise Benutzerdaten an Datenaggregatoren oder Broker weiter, die diese wiederum an Unternehmen wie Gravy Analytics weitergeben.“

Die Datensammelwut der Werbeanbieter ist nicht nur in Europa, sondern auch in den USA ins Visier der Aufsichtsbehörden geraten:

Erst im Dezember ging die Verbraucherschutzbehörde FTC gegen Gravy Analytics vor, „weil sie unrechtmäßig sensible Standortdaten von Nutzern verfolgen und verkaufen, darunter auch Daten über Besuche von Verbrauchern an gesundheitsrelevanten Orten und Kirchen, Gewerkschaftshäusern oder Militärstützpunkten“, schreiben die FTC-Ermittler in ihrer Mitteilung vom dritten Dezember.

Die FTC will Gravy Analytics künftig verbieten, „sensible Standortdaten in Produkten oder Dienstleistungen zu verkaufen, offenzulegen oder zu verwenden“.

Diese Anordnung aber scheint bislang, das zeigen die aktuellen Daten der Hacker, nicht beachtet worden zu sein. Auf Presseanfragen reagierte Gravy Analytics bislang nicht.