Datenbank zur "anonymen" Plauder-App Whisper leakte identifizierende Metadaten
Forscher fanden eine Datenbank, deren Inhalt Rückschlüsse auf die Identität von Millionen Whisper-Nutzern zuließ. Bizarre Datenauswertungen inklusive.
In der scheinbaren Anonymität von Apps wie Whisper dürfte manches intime Geständnis fallen. In den falschen Händen und kombiniert mit weiteren Daten kann das zum Problem werden.
(Bild: apps.apple.com)
Die mobile App Whisper für Android und iOS gibt es bereits seit 2012. Sie dient Nutzern als eine Art anonymer Social-Media-Kanal, über den sie ohne Angabe von Klarnamen und Adressen so genannte "Whispers" – mehr oder weniger pikante "Geständnisse" – veröffentlichen können. Auch anonyme Diskussionen, Einzelchats und das Hochladen von Videos ist möglich.
Der Gründer des Unternehmens hinter Whisper bezeichnete die App 2014 als den "sichersten Ort im Internet". Dabei war bereits damals bekannt, dass die App fleißig Daten über ihre Nutzer sammelt, die vor allem auch in Kombination mit "Whispers" und weiteren Daten durchaus Aufschluss über deren Identität geben kann.
So wird unter anderem jeder Nutzer lokalisiert – auf Basis seiner GPS-Koordinaten oder anhand seiner IP-Adresse. Auch bleiben gelöschte Whisper-Nachrichten weiterhin auf den Servern des Unternehmens. Aus der Datensammlung, -auswertung und -weitergabe, auch an Dritte, macht Whisper in seiner Privacy Policy allerdings auch kein Geheimnis.
900 Millionen Datensätze mit reichlich Metadaten geleakt
Nun haben Sicherheitsforscher gegenüber der Washington Post von einer ElasticSearch-basierten Whisper-Datenbank berichtet, die ohne Passwortschutz frei übers Internet zugänglich war. Wie lange der Zugriff insgesamt möglich war und ob er tatsächlich erfolgte, ist unbekannt. Ab vergangenem Montag soll er durch WhisperText LLC unterbunden worden sein, nachdem das Unternehmen von Forschern und Journalisten über das Leak informiert wurde.
Im Artikel der Washington Post ist von 900 Millionen Datensätzen mit Nutzerinformationen die Rede, die ab 2012 bis zum jetzigen Zeitpunkt gesammelt wurden. Zu den absoluten Nutzerzahlen der App, die vor einigen Jahren recht populär war, ist wenig bekannt: Der App-Beschreibung auf Google Play zufolge sollen noch immer monatlich mehr als 30 Millionen Menschen weltweit aktiv von ihr Gebrauch machen.
Beunruhigend ist die große Zahl unterschiedlicher Metadaten im Leak, die Rückschlüsse auf die Urheber der (ebenfalls über das Leak verfügbaren) "Whispers" und Nutzervideos zulassen. The Register berichtet in einem Artikel von insgesamt 90 verschiedenen Metadatenfeldern, die jedem Nutzer zugeordnet waren und von denen nur etwa fünf dafür vorgesehen waren, anderen Nutzern im Kontext der App angezeigt zu werden. Unter den Daten hätten sich unter anderem Alter, Geschlecht, Nickname, Land, persönliche Interessen, IP-Adressen und Zeitzonen befunden. Aber auch abstraktere Angaben etwa zur Zahl der veröffentlichten Beiträge, Nickname-History oder Standortinformationen zum Zeipunkt einer bestimmten Beitragsveröffentlichung.
Der Washington Post zufolge hätten sich unter den Nutzern auch viele Minderjährige befunden. So hätte allein eine Suchanfrage nach Nutzern, die ihr Alter mit 15 Jahren angaben, rund 1,3 Millionen Ergebnisse zurückgeliefert.
"Sextäter-Wahrscheinlichkeit" und Selbstmordraten
Auf der Website zur Whisper-App erscheinen regelmäßig – teils unter Angabe von Nicknamen und Herkunftsort/-land – "lustige", schockierende oder sonstwie unterhaltsame Whispers. Dieser Marketing-Strategie der App-Entwickler dürften sich viele Nutzer, die ja im Kontext der App auch eine gewisse Freizügigkeit und Sorglosigkeit bei der Preisgabe intimer Geheimnisse an den Tag legen, durchaus bewusst sein.
(Bild: whisper.sh)
Das Problem des nun vorliegenden Datenlecks ist die Möglichkeit, diese "Geheimnisse" mit zahlreichen potenziell identifizierenden Metadaten zu verknüpfen und sie nach einem Download der Daten womöglich noch mit weiteren sensiblen Daten abzugleichen. Aus dieser Art des Zugriffs, der aus der App heraus nicht möglich gewesen wäre, hätten sich Möglichkeiten zur Erpressung oder auch Angriffe aufgrund ethnischer Zugehörigkeit oder sexueller Orientierung ergeben können.
Oder Gewalt aufgrund falscher Beschuldigungen: Das Leak enthält laut Washington Post nämlich auch eine Metadatenzuordnung mit dem Titel "predator_probability". Offenbar hatten die App-Entwickler nach unbekannten Kriterien versucht, vorherzusagen, ob ein Nutzer wegen (virtueller) sexueller Belästigung anderer Nutzer aus der Community verbannt werden sollte. Ein offenbar hoffnungsloses Unterfangen, das letztlich eingestellt wurde: Laut Washington Post hatten bereits 9000 Nutzer einen Score von 100 Prozent erreicht.
Bei der Installation genau hinschauen
Ein weiterer seltsam anmutender Auswertungsversuch der Daten durch das Unternehmen war der Versuch, Beiträge von Personen, die in (mittels Koordinaten zugeordneten) Militärbasen stationiert waren, nach Hinweisen auf Selbstmordabsichten zu durchsuchen. Laut Washington Post ein noch unausgegorenes Forschungsprojekt, das das Whisper-Team dem US-Verteidigungsministerium anbieten wollte.
Letztlich liegt es an den App-Anbietern, die gesammelten Daten vor Missbrauch zu schützen. Das aktuelle Leak ruft aber auch in Erinnerung, dass Nutzer vor der App-Installation die jeweilige AGB studieren und zudem genau hinschauen sollten, welche Rechte sie der jeweiligen App einräumen. Im Falle von Whisper umfassen diese Rechte etwa das Auslesen von Kontaktdaten auf dem mobilen Gerät, den Zugriff auf den genauen Standort, auf Kamera, Fotos und andere Dateien sowie auf Informationen zu eingehenden und getätigten Anrufen. Bis das Ende der langen Liste erreicht ist, dürfte genug Zeit verstreichen, um die Installation noch einmal zu überdenken.
(ovw)
