[English]Nice: Die Namen, E-Mail-Adressen und das Bewegungsprofil von Kunden des auch in Deutschland aktiven, chinesischen Leihfahrrad-Anbieters oBike fanden sich ungeschützt im Internet. Hier ein paar Informationen.
Anzeige
Es ist immer wieder schön, zu sehen, wie einem Themen erneut auf die Füße fallen. Am 19. November 2019 hatte ich hier im Blog den Beitrag Stopp: Leihfahrräder als Datenkrake, der sich mit dem Problem dieser Angebote und einigen Hintergründen befasst.
(Quelle: Marco Verch / Flickr / CC BY 2.0 )
In München, Frankfurt oder Berlin werden die Leihfahrräder des Anbieters oBike zum Problem, weil sie in Parks, auf Gehwegen oder an anderen öffentlichen Plätzen die Wege versperren.
#Obike – Stapel am Englischen Garten in #Muenchen. Leihradüberversorgung in der #Radlhauptstadt? pic.twitter.com/hbMTMB7vo9
— Anton Rauch (@AntonRauch) 7. September 2017
Andernorts hat die Polizei bereits tausende dieser Räder beschlagnahmt und dann verschrotten lassen. Auch scheinen die Räder schnell zum Schrott zu mutieren, da die Qualität zu wünschen übrig lässt.
Warnung vor der Datenkrake
In meinem Beitrag hatte ich vor der Datenkrake Leihfahrrad gewarnt. Die Leihfahrräder haben keine festen Stationen für Ausleihe und Rückgabe. Sie sind mit GPS ausgestattet und das Buchen erfolgt in der Regel per App, die auch das Rad entsperrt. Diese App zeichnet alles auf, was der Kunde so hergibt (Name, E-Mail-Adresse, GPS-Bewegungsdaten und auch die Nutzungszeit). Ich zitiere aus meinem Artikel:
Der Radfahrer wird quasi gläsern – was in China kein Thema sein dürfte, wird in Deutschland zum Problem. Die Süddeutsche Zeitung zitiert hier zwar den, seit ein paar Wochen angeheuerten oBike-Vertreter, dass der Datenschutz gewährleistet sei.
Die Bewegungsprofile der Nutzer würden zwar aufgezeichnet und gespeichert, dies geschehe aber anonym. Und man habe nicht vor, die Daten weiterzugeben.
Marketing-Schmonsens und weiße Salbe, die Aussage des oBike-Vertreters. Der Stadt München wurden von einer oBike-Vertreterin Kundendaten angeboten. Aber das lässt sich noch toppen.
Anzeige
oBike-Daten frei im Netz
Es geht seit Stunden durch die Medien: Ein Team des Bayrischen Rundfunks hat aufgedeckt, dass die Nutzerdaten von oBike einfach über soziale Netzwerke abrufbar waren. Zitat des BR:
Namen aus Deutschland, Handynummern aus der Schweiz, E-Mailadressen aus Großbritannien, Profilfotos aus Malaysia. Journalisten von BR Data und BR Recherche konnten im Internet Nutzerdaten des Fahrradverleihs Obike einsehen. Die Daten waren weder verschlüsselt noch anderweitig geschützt, sogar exakte Bewegungsdaten von Fahrten mit den Leihrädern lagen nach BR-Informationen mindestens zwei Wochen lang offen. Obike-Nutzer auf der ganzen Welt waren von diesem Datenleck betroffen.
Hintergrund ist wohl, dass die Social Media-Funktion der oBike-App das Problem darstellte. Diese bietet den Nutzern Funktionen, um Einladungscodes und Fahrten in sozialen Netzwerken zu teilen. Damit die Facebook-Freunde auch mitbekommen, dass man oBike gefahren ist.
Etwas doof: Die Nutzer ermöglichten unbemerkt Dritten den direkten Zugriff auf ihre persönlichen Daten bei oBike. Noch schlimmer: Selbst wenn ein Nutzer nichts in sozialen Netzwerken geteilt hatte, waren seine Daten einsehbar. Cyber-Kriminelle hätten diese Daten kopieren und für eigene Zwecke verwenden können (möglicherweise ist das bereits geschehen). Der BR hat oBbike mit dem Datenleck konfrontiert. Natürlich wurden die Sicherheitslücken geschlossen. Und dann kommt das Statement von Obike, welches ich von der BR-Seite zitiere:
"Obike tut alles, um eventuelle Sicherheitslücken schnell zu beheben und Nutzerdaten zu schützen."
Inzwischen haben sich, laut BR, Datenschützer aus Berlin eingeschaltet (dort ist der oBike-Firmensitz), da der Vorgang einen Verstoß gegen den Datenschutz darstellt. Laut Datenschützer Thomas Kranig verstößt oBike auch gegen das Transparenzgebot, weil unklar ist, welche Nutzerdaten erfasst werden.
Auch ist unklar, wer wirklich hinter der Firma oBike steht, die auch einem Firmengeflecht besteht, welches auf auf den Britischen Jungferninseln (Steuerparadies) seinen Sitz hat. Die Details lassen sich im BR-Textbeitrag hier nachlesen.
Geschäftsmodelle der China-Industrie am wackeln?
Interessant dürften diese Geschäftsmodelle auch ab Sommer 2018 werden, wenn die Datenschutzgrundverordnung in Kraft ist. Dann werden deftige Geldbußen bei Verstößen fällig. Ich schätze, dass die Handhabung von Nutzerdaten bei chinesischen Firmen samt Überwachung irgendwann deren Geschäftsmodellen das Genick bricht. Das Wallstreet Journal hat gerade diesen Artikel veröffentlicht, der sich damit befasst, dass chinesische Techfirmen wie Alibaba & Co. als willige Helfer der chinesischen Regierung fungieren und die eigenen Leute überwachen. Da bleibt dann gerne mal eine Backdoor in der Firmware oder in Apps auf dem Weg in Richtung Westen zurück. Ist ja nichts besonderes und in China gibt es keine Datenschutzkultur. Wenn man dann erwischt wird, heißt es 'sorry, war nicht so gemeint'. Realistischerweise dürfte keine Firma mehr Produkte aus China einsetzen, da man sich über diesen Weg die Spionagefunktionen ins Haus holt.
Ähnliche Artikel:
Stopp: Leihfahrräder als Datenkrake
Backdoor in China-Hardware
Backdoor/Rootkit bei 3 Millionen China-Handys entdeckt
Backdoor in China-Phones "telefoniert nach Hause"
Android-Backdoor in China-Phones
China Adware Fireball infiziert 250 Millionen Systeme weltweit
Chinesische PUP kommt mit Backdoor
Was kostet ein Chinese? Chinas Einwohner sind gläsern
Billige China-Kracher mit Android-Trojaner inside
2015
Jo habe ich so eben auch gelesen und da wundern sich manche Leute noch darüber das sich wenige Menschen wegen so ein paar Telemetrie Daten Gedanken machen.
Wenn die Daten in falsche Hände gelangen kann man dann Bewegungsprofile der Personen herstellen und sich ziemlich einfach herausfiltern wann diese Personen eben nicht zu hause sind und wann die beste zeit ist die Bude auszuräumen, nur mal so als Krasses kleines Beispiel.
Das sollte die "ich hab doch nichts zu verbergen" Leute mal Ordentlich wachrütteln!
Die Tage habe ich gelesen "Das Australien staatliche Gesichtserkennung gegen einen kleinen Obolus für Firmen öffnen will" https://www.heise.de/newsticker/meldung/Australien-will-staatliche-Gesichtserkennung-fuer-Firmen-oeffnen-3901720.html
Na ja ist ja nur Australien, das machen wir Deutschen schon lange zwar verticken unsere Ordnungsämter keine staatliche Gesichtserkennung, aber unsere Adressdaten falls wir mal umziehen und eben keine Faber Werbung mal haben möchten.
Da passt jetzt der Beitrag hier ganz gut. In Indien ist gerade ein Verleiher Ola gestartet, der das Buchen der Räder per Ola-App abwickelt. Aktuell sind die in der Pilotphase auf dem indischen Markt.
Frontalangriff auf die digitale Sicherheit
Oder sagen wir mal so das das Bundesinnenministerium plant momentan den digitalen Lauschangriff und zwar Technikoffen, demnach soll die Industrie verpflichtet werden, den Behörden beim Knacken von Sicherheitssystemen zu unterstützen. Das Vorhaben läuft unter dem sperrigen Titel „Handlungsbedarf zur gesetzlichen Verpflichtung Dritter für Maßnahmen der verdeckten Informationserhebung nach §§ 100c und 100f StPO", gemeint ist damit der sogenannte Lauschangriff, also das Überwachen von Verdächtigen und deren Wohnräumen. Das umfasst eine Auskunfts- und Mitteilungspflicht, die insbesondere für große Konzerne und die Produzenten digitaler Sicherheitssysteme gelte. Außerdem gehe es um Programmierprotokolle, die Firmen offenlegen sollen.
Begründet wird das Vorhaben mit den Problemen, die Polizei und Geheimdienste mittlerweile beim heimlichen Überwachen hätten. Bei modernen Autos wäre es etwa nicht mehr ohne weiteres möglich, die digitalen Sicherheitssysteme zu überwinden, um Abhörwanzen einzubauen. Die Schlösser wären so gut gesichert, dass selbst leichte Erschütterungen dem Besitzer per Messenger gemeldet werden. Und eben diese Warnhinweise sollen die Hersteller künftig unterdrücken.
Bedeutet ganz einfach das unsere Polizei und die Geheimdienste zu blöd zum Hacken sind und sich gerne an dem Wissen anderer bemächtigen und ausruhen.
Wie tiefgreifend die Maßnahmen letztlich sind, geht aus dem Bericht des Redaktionsnetzwerks Deutschland zwar nicht hervor. Dass die Industrie aber die Sicherheitsbehörden bei einem digitalen Lauschangriff unterstützen soll, sorgt für massive Kritik. Sowohl Netzaktivisten als auch IT-Wirtschaftsverbände warnen vor der Einführung von Hintertüren in Hard- und Software, zu denen eine solche Verpflichtung führen kann.
Durch den Zwang zu Software-Hintertüren könnten Geheimdienste künftig fast alle Geräte in eine Wanze verwandeln. Für Volker Tripp von der Digitalen Gesellschaft bedeute das Vorhaben, dass es „keinerlei Privatsphäre, keinerlei Rückzugsraum und keinerlei Unbefangenheit" mehr gebe.