Beliebte Familienortungs-App ließ Echtzeit-Standortdaten seiner Benutzer ohne Passwortschutz auf einem öffentlich zugänglichen Server

 

„Family Locator“ ist eine iOS-App des Herstellers React Apps, über die Benutzer den aktuellen Standort von Freunden und Familienmitgliedern verfolgen können. Mit der kostenpflichtigen App der Australischen Software-Schmiede lassen sich bis zu 10 Andere Benutzer hinzufügen und verfolgen. Die App meldet automatisch, wenn einer dieser 10 Menschen einen bestimmten Ort erreicht oder verlässt und stellt einen detaillierten Standortverlauf der letzten drei Tage zur Verfügung.

Viele Benutzer erhoffen sich von dieser App vermutlich mehr Ruhe und weniger Sorgen, weil sie so immer wissen, ob z. B. der Partner schon auf dem Heimweg ist oder die Kinder gut in der Schule angekommen sind.

Die Hoffnung auf weniger Sorgen hat sich für viele Family-Locator-Nutzer jedoch ins Gegenteil verkehrt, wurde doch kürzlich bekannt, dass die Echtzeit-Standort-Daten ihrer Lieben für jeden mit einer Internetverbindung einsehbar waren.

Laut einem Bericht von TechCrunch war die MongoDB-Datenbank der App Family Locator überhaupt nicht gesichert. Sie war unverschlüsselt und ohne Passwortschutz einfach auf einem Internet-Server gespeichert.

„Eine Analyse der Datenbank hat ergeben, dass der Datensatz zu jedem Konto den Namen des Benutzers, seine E-Mail-Adresse, sein Profilbild sowie sein Passwort im Klartext enthielt. Jedem Konto waren in der Datenbank darüber hinaus die – auf wenige Meter genauen – Echtzeit-Standortdaten des Benutzers selbst sowie der anderen Benutzer, denen dieses Konto folgt, zugeordnet. Auch die Koordinaten und Namen aller definierten Bereiche wie „zu Hause“ oder „Arbeit“ waren in der Datenbank gespeichert.“

Entdeckt wurde die Datenpanne vom Sicherheitsexperten Sanyam Jain, der daraufhin TechCrunch informierte. Mitarbeiter des Nachrichtenportals richteten mit einer Wegwerf-E-Mail-Adresse ein Family-Locator-Konto ein und konnten so bestätigen, dass die Datenbank ungesichert war und weiterhin die Echtzeit-Standortdaten der Benutzer aufzeichnete.

TechCrunch kontaktierte einen Benutzer, dessen Daten abrufbar waren, und dieser bestätigte, dass die Daten korrekt waren, und dass ein in der App gelistetes Familienmitglied tatsächlich sein Kind war, das sich gerade in der Schule aufhielt.

An dieser Stelle würde man erwarten, dass die Journalisten oder Techniker den App-Betreiber kontaktieren und ihn auffordern würden, die Sicherheitslücke umgehend zu schließen.

TechCrunch berichtet jedoch, dass über eine Woche lang jeder Versuch, React Apps zu erreichen, fehlschlug. Auf der Website des Unternehmens sind keine Kontaktdaten aufgeführt, der WHOIS-Eintrag ist verschlüsselt, und die über ein Online-Kontaktformular gesendeten Nachrichten blieben unbeantwortet. Das Nachrichtenportal ging sogar so weit, von den entsprechenden Behörden die Unternehmensinformationen zu React App anzufordern. Darin fand sich zwar der Name des Eigentümers, aber immer noch keine Kontaktdaten.

Schließlich sah TechCrunch sich gezwungen, Microsoft zu kontaktieren. Denn die ungesicherte Datenbank lag auf einem MS-Azure-Cloud-Server. Offenbar konnten sie den Entwickler dort erreichen, denn einige Stunden später war die Datenbank offline.

Bisher hat React Apps weder eine öffentliche Stellungnahme zu der Datenpanne abgegeben noch die Benutzer darüber informiert, dass es durch ihre Achtlosigkeit zu einem Sicherheitsvorfall gekommen war.

Zum Glück waren Sanyam Jain und TechCrunch so gewissenhaft, nicht aufzugeben, nachdem ihre Kontaktversuche bei React Apps ein ums andere Mal ins Leere gelaufen waren, und schließlich selbst zur Tat zu schreiten und das Problem zu lösen.

Leider ist dies nur einer von vielen Fällen, in dem Daten auf MongoDB-Servern durch mangelnde Sicherheitsvorkehrungen an die öffentlichkeit gelangten.

rn