Datensicherheit: Daten von 31 Millionen AI.type-Nutzern veröffentlicht
AI.type ist ein weiteres, der zuletzt zahlreichen Beispiele für den unbestreitbaren Fakt, dass Kundendaten in den Händen von Unternehmen nicht sicher sind. Ein Fehler in der Serversicherheit soll diesmal Schuld gewesen sein, dass Millionen von persönlichen Kundeninformationen versehentlich veröffentlicht wurden.
Der Leak wurde letztes Wochenende bestätigt, nachdem er durch das Kromtech Security Center entdeckt wurde. Letzteres berichtet, dass über 577 GB an Daten von dem Unternehmensserver geleakt wurden. Vermutet wird, dass die Daten öffentlich wurden, nachdem vergessen wurde den Server per Passwort zu sichern. So hatte potentiell jeder Zugriff auf die sensiblen Daten der Androiduser.
Erst nach wiederholten Versuchen der Kontaktaufnahmen mit dem Serverbetreiber und AI.type-Mitbegründer Eitan Fitusi wurde ein Passwort eingesetzt. Dennoch gab es weder eine Antwort, geschweige denn ein Statement des Verantwortlichen.
Die gelakten Daten beinhalten die kompletten Namen der Nutzer, ihre Email-Adressen sowie ihre präzisen Standortdaten. Über die Nutzer der kostenlosen Version sind gar noch mehr Daten vorhanden, beispielsweise IMSI- und IMEI-Nummern, das Gerätemodell, die Bildschirmauflösung, Android-Version und von einigen Nutzern gar die Telefonnummern und ihre Provider. Außerdem gibt es noch vereinzelt Daten zu der IP-Adresse und dem Internetprovider (bei Wifi-Verbindung), teils sogar spezifische Details aus dem Google Profil der Nutzer, wie Geburtsdatum, Geschlecht und Profilfotos.
Das ist noch nicht das Ende der Fahnenstange. Auch komplette Kontaktlisten der Nutzer waren laut Zdnet zu finden. Wofür die App all diese Daten gespeichert und genutzt hat ist dabei, wie so oft, unklar. Andere Einträge offenbarten die komplette Liste aller auf einem Gerät installierten Apps, inklusive Bank- und Dating-Apps. Daneben wurden 8,6 Millionen Texteinträge gespeichert, darunter auch Email-Adressen und die dazugehörigen, sensiblen Passwörter.
Heikel ist ebenfalls, dass AI.type auf ihrer Website explizit schreibt, dass die Privatsphäre der Nutzer zu ihren Hauptanliegen gehöre und das sämtliche Daten verschlüsselt würden. Die jetzt veröffentlichte Datenbank war jedoch nicht verschlüsselt und alle geleakten Informationen somit frei einsehbar.
Quelle(n)
Kromtech Security Center via Zdnet
Bild: AI.type im Play Store