Deutsche Forscher warnen 56 Millionen Nutzerdaten ungeschützt im Internet
Sicherheitsforscher der Technischen Universität Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) haben Millionen von Benutzernamen, Passwörtern, E-Mail-Adressen und viele weitere Daten ungeschützt im Internet gefunden. Von dem riesigen Datenleck sind vor allem Smartphone-Besitzer betroffen.
Noch ist unklar, ob Internetkriminelle die Schwachstelle bereits ausnutzen. Das Leck ist jedoch ein gefundenes Fressen für Identitäts- und Kontodiebe, Spammer sowie Erpresser. 56 Millionen Datensätze liegen ungeschützt in den Datenbanken sogenannter Cloud-Anbieter, berichten die Forscher.
Dabei handelt es sich um Onlinespeicher-Dienste, die in diesem Fall vor allem von Apps genutzt werden, um Nutzerdaten auf unterschiedlichen Endgeräten zu synchronisieren. Alle persönlichen Einstellungen, Nachrichten, Fotos, Gesundheitsdaten oder Notizen, die ein Nutzer einer App anvertraut, landen in einer Art Zwischenspeicher, der sich im Internet anstatt auf einer Festplatte befindet. Auf diese Weise stehen die Daten jederzeit zur Verfügung – egal, ob die App gerade auf einem Android-Smartphone oder einem iPad, zuhause oder unterwegs geöffnet wird.
Nachlässige App-Entwickler
Das ist praktisch und an sich genommen wenig problematisch. Die Tests der Forscher zeigten jedoch, dass der Großteil der Apps nicht den Sicherheitsempfehlungen der Cloud-Anbieter (meist Amazon und Facebook Parse) folgt. Die Nutzerdaten sind auf dem Weg in die Cloud lediglich durch einen API-Token, einer in den App-Code eingebetteten Nummer, geschützt. Diese lasse sich jedoch leicht von Hackern auslesen.
Laut Informationen des Fraunhofer SIT wurden etwa zwei Millionen Apps für Android und Apples Betriebssystem iOS untersucht. "Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen“, erklärt Professor Eric Bodden, der Leiter des Forscherteams. Das deutsche sowie das EU-Recht erlaube den Forscher zudem keine konkrete Nennung von betroffenen Apps.
Was tun gegen das Datenleck?
Auch den App-Nutzern können die Forscher nur einen sehr allgemeinen Rat erteilen: Die Nutzer sollten sich gut überlegen, welche Daten sie ihren Apps anvertrauen. Da das Problem sehr weitverbreitet ist, sind vor allem die Entwickler gefragt. Mit wenigen Zeilen Code schicken diese sensible Daten mit schwachen Schutzmechanismen in die Daten-Wolke.
Das Forscher-Team habe die entsprechenden App-Entwickler inzwischen mit der Hilfe von Amazon und Facebook informiert.