Überwachungsdienst "Teensafe" gab Apple-ID-Passwörter im Klartext preis
Ein für Eltern gedachter Spionagedienst zur Überwachung der Smartphone-Aktivitäten ihrer Kinder speicherte iCloud-Zugangsdaten einem Bericht zufolge im Klartext – auf einem ungeschützten Server.
Das Smartphone als stete Bedrohung – so zeichnet es die Webseite von Teensafe und möchte zur Überwachung die Apple-ID-Zugangsdaten.
(Bild: Screenshot Teensafe Webseite)
- Leo Becker
Der Dienst Teensafe ist angeblich leichtfertig mit sensiblen Nutzerdaten umgegangen: Das für Eltern gedachte Spionage-Tool habe eine Datenbank mit Accounts ungeschützt und öffentlich zugänglich auf “mindestens einem Server” hinterlegt, wie Zdnet berichtet. Ein Sicherheitsforscher habe insgesamt zwei von Teensafe nicht abgesicherte Server auf Amazon Web Services aufgespürt.
Account-Datensätze mit Klartext-Passwörtern
Einer der Server enthielt offenbar nur Testdaten, auf dem anderen fand sich dem Bericht zufolge aber eine frei zugängliche Datenbank mit rund 10.000 Nutzer-Accounts. Neben den E-Mail-Adressen, die Eltern für ihren Teensafe-Account verwendet haben, seien dort auch die zugehörigen Apple-ID-Daten der überwachten Kinder gelandet – mitsamt der Passwörter im Klartext. Man habe betroffene Nutzer kontaktiert, die die Echtheit der darin hinterlegten Zugangsdaten bestätigt haben, schreibt Zdnet.
Die beiden Server sind angeblich nicht länger erreichbar. Man habe “einen der eigenen Server für die Öffentlichkeit gesperrt”, erklärte TeenSafe in einer Stellungnahme gegenüber Zdnet, “möglicherweise betroffene” Kunden sollen informiert werden.
Teensafe soll Smartphone-Kommunikation und Aufenthaltsorte offenlegen
Der für iOS wie Android ausgelegte Abo-Dienst Teensafe soll Eltern Einblick in die Smartphone-Kommunikation ihrer Kinder geben und etwa das Mitlesen von Text- und WhatsApp-Nachrichten ermöglichen. Auch Zugang zum Browser-, Telefonie- und Standort-Verlauf gehören zum angepriesenen Funktionsumfang.
Um Eltern diese Daten bereitzustellen, wertet der Dienst offenbar die iCloud-Backups der Kinder aus – und benötigt zu diesem Zweck deren Apple-ID-Zugangsdaten. Um diese Überwachungs-Funktionalität bereitzustellen, muss zudem Apples Zwei-Faktor-Authentifizierung bei den Kindern deaktiviert werden.
Der ungeschützte Datensatz habe keine weiteren Nutzerdaten wie etwa Aufenthaltsorte oder Textnachrichten enthalten, so Zdnet. Ein Angreifer, der in Besitz der ungeschützten Zugangsdaten der Teenager gerät, erhält aufgrund des fehlenden Zwei-Faktor-Schutzes aber sofort weitreichende Zugriffsmöglichkeiten auf die in iCloud gespeicherten persönlichen Daten. (lbe)
