Regenradar, Tinder, Solitaire: Ortsdaten aus tausenden Apps gelangten in Hacker-Hände
Bewegungsprofile machen es leicht, Personen zu identifizieren: Durch regelmäßige Aufenthaltsorte zur Arbeits- und Freizeit lassen sich schnell Einzelpersonen aufspüren. Verfolgt man beispielsweise die gesammelten Bewegungsprofile eines Ministeriums oder einer Forschungseinrichtung über mehrere Tage, entsteht eine Liste potenzieller Heimadressen der dort Arbeitenden. Einem
Bericht von 404 Media zufolge sind Hacker in die Server des Datensammlers „Gravy Analytics“ eingedrungen und haben umfangreiche Bewegungsprofile erbeutet. Nun fordern sie Lösegeld: Reagiere der Konzern nicht, wollen sie die Daten veröffentlichen.
Zusammen mit der Ankündigung in einem Hacker-Forum wurden Beispieldaten veröffentlicht; Sicherheitsexperten bestätigten deren Authentizität. Das Konvolut bestehen zu großen Teilen aus Bewegungsprofilen auf Basis der „mobile Advertising ID“, einer Gerätekennung für Werbezwecke. Viele Smartphone-Apps nutzen diese zu Werbezwecken und melden sie zusammen mit dem aktuellen Aufenthaltsort an Werbenetzwerke weiter. Datenhändler wie Gravy Analytics kaufen diese Bewegungsprofile auf und verkaufen sie weiter, beispielsweise an Strafverfolgungsbehörden.
Häufig benutzte AppsTeil der Vorabveröffentlichung sind die Apps, deren Daten in den erbeuteten Informationen eingeflossen sind. Größtenteils handele es sich um Spiele sowie eine ganze Sammlung von Apps, die sich als TikTok-Downloader ausgeben, fasst das Sicherheitsunternehmen Malwarebytes den bisher
bekannten Stand zusammen. Doch auch Dating-Apps wie Tinder sendeten Geodaten an Werbenetzwerke. In der Liste taucht zudem eine beliebte deutsche App auf: Ortsdaten der App „Regenradar“ vom Portal „Wetteronline“ könnten ebenfalls in die Datensammlung eingeflossen sein.
Beispiel: Besucher von „Epstein Island“ zurückverfolgtWas eine solche Datensammlung ermöglicht, verdeutlichte das Magazin WIRED im November 2024 mit einer Videodokumentation. Aus geleakten Telemetriedaten des Datenhändlers Near Intelligence von 2016 bis 2019 konnten sie einzelne Besucher der Karibikinsel „Little St. James“ weitestgehend identifizieren: Mögliche Wohn- und Arbeitsorte von 166 Amerikanern und weiteren Menschen aus der ganzen Welt ließen sich analysieren. Interessanterweise gab es keine Ortsdaten aus der EU. Die Journalisten vermuten, dass Datenschutzbestimmungen wie die DSGVO ein umfangreiches Erfassen von Ortsdaten auf europäischem Territorium verhinderten.