US-Polizei-App legt Details zu Durchsuchungen und Verdächtigen offen
Die von US-Strafverfolgern genutzte App, SweepWizard, erlaubte den Zugriff auf vertrauliche Daten. Der Hersteller hat die App vorerst zurĂĽckgezogen.
Die Android- und iOS-App SweepWizard des US-Unternehmens Odin Intelligence Inc. kam seit Jahren zur Koordinierung von Razzien vorrangig in Kalifornien zum Einsatz. Aufgrund mangelhafter SchutzmaĂźnahmen waren jedoch umfangreiche Daten ohne Authentifizierung ĂĽber die API-Endpunkte zugreifbar. Die Apps hat der Hersteller inzwischen aus den App-Stores entfernt.
Fehlende Authentifizierung
Das Wired-Magazin wurde nach einem Hinweis auf die Sicherheitslücke in der Polizei-App darauf aufmerksam. Demzufolge war es jedem durch den Zugriff auf eine bestimmte URL möglich, vertrauliche Daten der Strafverfolger einzusehen. Das Magazin hat anhand der Android-App nachvollziehen können, dass ohne Login in der App der Zugriff auf sensible Daten von Razzien und anderen Polizeiaktionen zurückreichend über mehrere Jahre möglich war. Die Daten waren sogar mit einem beliebigen Webbrowser durch den Besuch der URL einsehbar.
SweepWizard soll die Polizei bei der Durchführung von Razzien mit mehreren Dienststellen unterstützen. Die in der App verarbeiteten und zugreifbaren Daten umfassten personenbezogene Daten von Hunderten Beamten (Namen, Telefonnummern und E-Mail-Adresse) und 5770 Verdächtigen – etwa deren Größe, Gewicht, Augenfarbe oder Obdachlosen-Status –, sowie die geografische Lage der Wohnungen von Verdächtigen, Zeit und Ort von Razzien, demografische Daten sowie Kontaktinformationen und in rund 1000 Fällen sogar die Sozialversicherungsnummern von Verdächtigen. Die zugreifbaren Daten betrafen etwa 200 Razzien von Dutzenden Polizeidienststellen über mehrere Jahre.
Von Wired mit den Funden konfrontiert, nahm Odin Intelligence die Apps zunächst aus den App-Stores. Der CEO Erik McAuley bezog zudem Stellung: "ODIN Intelligence Inc. nimmt das Thema Sicherheit sehr ernst. Wir haben und werden diese Behauptungen gründlich untersuchen. Bisher ist es uns nicht gelungen, die angebliche Sicherheitslücke in einem Odin-System zu reproduzieren". Inzwischen ist die App nicht mehr in Google Play und im Apple App Store verfügbar.
Odin Intelligence kann Fehler nicht reproduzieren
Die Webseite des Herstellers ist am vergangenen Wochenende einem Defacement von Cyberkriminellen anheimgefallen. Inzwischen ist sie gar nicht mehr erreichbar.
Die Apps waren seit dem Jahr 2016 verfügbar. Die zugreifbaren Daten durch das Datenleck reichen dem Bericht zufolge jedoch sogar bis 2011 zurück. Die jüngsten Informationen stammten von kurz vor Weihnachten des vergangenen Jahres. Unklar bleibt, ob die Daten schon vor den geplanten Razzien einsehbar waren. Odin Intelligence hat auf die entsprechende Frage nicht reagiert. Daten von mindestens einer Razzia seien jedoch öffentlich zugänglich gemacht worden.
Odin Intelligence bietet auch weitere Software an, die nach dem "Stand der Technik" gesichert sei. Dazu gehört ein "Homeless Management Information System", das offenbar mit Gesichtserkennung zur Identifikation von obdachlosen Menschen arbeitet.
Datenlecks bei Strafverfolgern oder Justiz-Institutionen treten immer wieder mal auf – wo Menschen arbeiten, passieren Fehler. So kam es im vergangenen Jahr etwa zum Datenleck bei der Justizvollzugsanstallt Straubing. Die fehlende Authentifizierung zum Datenzugriff ist jedoch ein ungewöhnlicher und weitreichender Fehler.
(dmk)