Millionen Datensätze von Wearables und Fitness-Trackern ungesichert online
Die ungeschützte Datenbank gehört wohl GetHealth. Die Datensätze stammen von Nutzern weltweit. Besonders Fitbit- und Apples HealthKit-Daten sind betroffen.
Eine ungesicherte Datenbank mit über 61 Millionen Datensätzen von Nutzern auf der ganzen Welt im Zusammenhang mit Wearabls und Fitness-Trackern wurde online veröffentlicht. Den nicht passwortgeschützten Datenspeicher hatten das Team des Onlineportals WebsitePlanet und der Cybersecurity-Forscher Jeremiah Fowler am 30. Juni entdeckt.
Am Montag (13.9.) berichteten WebsitePlanet und Fowler nun, dass die Datenbank zu GetHealth gehört. Das in New York ansässige Unternehmen GetHealth beschreibt sich selbst als "ganzheitliche Lösung für den Zugriff auf Gesundheits- und Wellness-Daten von Hunderten von Wearables, medizinischen Geräten und Apps". Die Plattform des Unternehmens ist in der Lage, gesundheitsbezogene Daten aus Quellen wie Fitbit, Misfit Wearables, Microsoft Band, Strava und Google Fit abzurufen.
WebsitePlanet und Fowler gaben an, dass über 61 Millionen Datensätze in der Datenbank enthalten waren, darunter große Mengen an Benutzerinformationen – von denen einige als sensibel angesehen werden könnten – wie Namen, Geburtsdaten, Gewicht, Größe, Geschlecht und GPS-Protokolle. Bei einer Stichprobe von etwa 20.000 Datensätzen stellte das Team fest, dass die meisten Datenquellen von Fitbit und Apples HealthKit stammten. "Die Dateien zeigen auch, wo die Daten gespeichert sind und einen Plan, wie das Netzwerk vom Backend aus funktioniert und konfiguriert wurde", fügten sie hinzu.
Spuren deuten auf GetHealth
Verweise auf GetHealth in der knapp 17 Gigabyte großen Datenbank deuten darauf hin, dass das New Yorker Unternehmen der Eigentümer war. Nach der Überprüfung der Daten informierte Fowler das Unternehmen privat über seine Erkenntnisse. GetHealth reagierte schnell und die Datensätze wurden innerhalb weniger Stunden gesichert. Noch am selben Tag meldete sich der Technikvorstand des Unternehmens bei Fowler und teilte ihm mit, dass das Sicherheitsproblem nun behoben sei, und bedankte sich.
"Es ist unklar, wie lange diese Datensätze offen lagen oder wer sonst noch Zugriff auf den Datensatz hatte", schreibt WebsitePlanet. "Wir unterstellen GetHealth, seinen Kunden oder Partnern kein Fehlverhalten. Wir unterstellen auch nicht, dass irgendwelche Kunden- oder Nutzerdaten in Gefahr waren. Wir waren nicht in der Lage, die genaue Anzahl der betroffenen Personen zu bestimmen, bevor die Datenbank für den öffentlichen Zugriff gesperrt wurde."
Stärkere Regulierung gefordert
Wissenschaftler mahnen seit Längerem eine stärkere Regulierung von Wearables und anderer am und im Menschen getragener Technik an. Das "Internet der Körper" wirft viele ethische Fragen auf, so Forscher der US-Denkfabrik RAND in einer Ende 2020 veröffentlichten Studie. Fitness-Armbänder und Smartwatches sammelten immer mehr sensible persönliche Daten, was nicht nur die Privatsphäre untergräbt. Gesetzgeber sollten daher Vorgaben rund um die Transparenz und den Schutz der erhobenen sensiblen persönlichen Informationen machen, so die RAND-Forscher.
Mittlerweile verbietet das US-Verteidigungsministerium Soldaten in Einsatzgebieten die Nutzung von Fitnessdaten-Trackern und Smartphone-Apps, die Standortdaten verraten können. Anfang 2018 war die Fitness-App Strava in die Kritik geraten, weil von ihr veröffentlichte Aktivitätskarten Standort und Nutzung von Militärstützpunkten offenbaren können.
(akn)