Riesiges Datenleck: Darum ist „App-Tracking ablehnen“ eine gute Idee
Ein Mega-Datenleck zeigt gerade auf, warum es sinnvoll ist, das App-Tracking durch Unternehmen abzulehnen. Soweit derzeit bekannt, hat ein Hacker bei einem Angriff auf den Datenhändler Gravy Analytics mehrere Terabyte an sensiblen Daten erbeutet, mit deren Hilfe sich beispielsweise aufzeigen lässt, wo Personen leben, arbeiten oder reisen. Auf Basis dieser Daten ist es beispielsweise möglich, […]
Ein Mega-Datenleck zeigt gerade auf, warum es sinnvoll ist, das App-Tracking durch Unternehmen abzulehnen. Soweit derzeit bekannt, hat ein Hacker bei einem Angriff auf den Datenhändler Gravy Analytics mehrere Terabyte an sensiblen Daten erbeutet, mit deren Hilfe sich beispielsweise aufzeigen lässt, wo Personen leben, arbeiten oder reisen.
Auf Basis dieser Daten ist es beispielsweise möglich, die Aufenthaltsorte von Nutzern bestimmter Apps abzufragen und so beispielsweise zu sehen, wo sich diese bevorzugt aufhalten. In der Grafik unten sind dies beispielsweise Tinder-Nutzer in Großbritannien.
Bild: Baptiste Robert / X
Gravy Analytics hat am Wochenende einen entsprechenden Vorfall bestätigt, jedoch keine konkreten Details genannt. Die Webseite des Unternehmens wurde offenbar gemeinsam mit weiteren Netzwerkdiensten aus Sicherheitsgründen offline genommen und ist weiterhin nicht erreichbar.
Der Sicherheitsforscher Baptiste Robert macht das Ausmaß des Vorfalls in diesem Thread auf X deutlich. Dort zeigt Robert auch anhand von verschiedenen Beispielen auf, was sich konkret mit den erbeuteten Daten anstellen lässt. Zwar handelt es sich um anonymisierte Datenpunkte, doch können diese aufgrund der besuchten Orte wie Arbeitsplätze und Wohnhäuser recht einfach Rückschlüsse auf konkrete Personen zulassen.
Rund 10 TB Daten erbeutet
Die erbeuteten Daten sollen aus einer Vielzahl populärer Apps stammen, darunter Fitness-, Dating- und Navigationsanwendungen. Der Hacker hat eine 1,4 GB große „Kostprobe“ davon in Onlineforen veröffentlicht, die mehr als 30 Millionen Ortspunkte enthält. Der komplette Datensatz soll rund zehn Terabyte groß sein, was dem Sicherheitsforscher zufolge mehr als 271 Milliarden Ortspunkten entspräche.
️ The Gravy Analytics breach exposes how easily citizens can be tracked:
– Seen at Space Launch Complex 36
– Work commute mapped
– Stops at Home Depot & family visits near Kansas City loggedA stark reminder of the privacy risks in location data collection. https://t.co/uXGWR6UUGu pic.twitter.com/EiI5TUNmNY
— Baptiste Robert (@fs0c131y) January 9, 2025
Robert spricht davon, dass es sich hier längst nicht mehr um ein gewöhnliches Datenleck, sondern definitiv um ein Sicherheitsrisiko handelt. Beispielsweise habe er auf Basis der Daten ohne Aufwand Militärangehörige identifizieren können, indem er einzelne Militärstandorte ausgewertet hat. In vergleichbarer Weise könnte man die Daten dazu nutzen, um Menschen zu verfolgen, die bestimmte Veranstaltungen, Ärzte oder dergleichen besuchen.
Dunkle Geschäfte auf dem Werbemarkt
Wie Gravy Analytics diese Datenbank aufgebaut hat, bleibt weitgehend ein Geheimnis. Das Unternehmen nutzt wohl Bieterauktionen im Online-Werbemarkt dazu, seinen Datenbestand zu erweitern. Die dort erhältlichen Datenpakete stammen aus verschiedensten Apps und können Informationen wie Geräte-IDs, IP-Adressen und mehr enthalten.
Der Sicherheitsforscher weist im Rahmen seiner Ausführungen mehrfach darauf hin, dass man die Tracking-Anfragen einzelner Anwendungen nach Möglichkeit generell verweigern soll.
Infos zu den entsprechenden Einstellungen in Apple-Geräten findet ihr hier:
What's Your Reaction?