Um die Mobilfunker in den USA hat sich ein Datenskandal entsponnen. Wie im vergangenen Herbst berichtet wurde, verkaufen unter anderem die größten Anbieter – AT&T, Sprint, T-Mobile und Verizon – seit Jahren in Echtzeit ermittelte Standortdaten an andere Unternehmen weiter. Betroffen ist damit fast jeder Bürger des Landes. Die Causa ist nun um eine problematische Facette reicher geworden.

Datenabnehmer wurde gehackt

Einer der Abnehmer dieses Datenschatzes ist laut Informationen von "Motherboard" Ziel eines Cyberangriffs geworden. 2.800 Kundenlogins wurden offenbar illegal aus einer Datenbank von Securus, einem Entwickler von Technologien für Gefängnisse und Strafverfolgungsbehörden, kopiert. Zum Beweis des Hacks hat der mutmaßliche Angreifer einen Teil der Daten sowie interne Dokumente von Securus an "Motherboard" übermittelt.

Wenngleich die Passwörter in den Logindaten verschlüsselt waren, ist anzunehmen, dass sie sich leicht herausfinden lassen. Denn zur Verschlüsselung wurde der MD5-Algorithmus genutzt, der schon lange als unsicher gilt. Zudem sind in den Beispieldaten einige Kennwörter bereits im Klartext ersichtlich – es ist jedoch unklar, ob der Hacker sie entschlüsselt hat oder sie bereits so gespeichert wurden. Verifiziert ist bereits, dass es sich um echte Kundendaten handelt.

Polizeibehörden als Kunden

Securus nutzt die zugekauften Daten für seine Tracking-Dienste, die es etwa der Polizei ermöglichen, die Standorte von Verdächtigen nachzuvollziehen. Man wirbt damit, Mobilgeräte auch bei abgeschaltetem GPS auf Basis von Anrufdaten orten zu können. Das System scheint keiner engmaschigen Kontrolle zu unterliegen und wurde unter anderem schon von einem Sheriff missbraucht, um die Standorte anderer Polizeibeamter abzufragen.

Wie viele der vom Hack betroffenen Kunden Zugriff auf die Standortabfrage hatten, ist unklar. Neben Mitarbeitern von Securus und Polizisten stehen in dem Auszug Daten zahlreicher Gefängnismitarbeiter. Die Electronic Frontier Foundation kritisiert, dass das System offenbar Standortabfragen ohne richterliche Genehmigung ermöglichte.

Nicht der erste Vorwurf gegen Securus

Securus soll darüber hinaus die verfassungsmäßigen Rechte von Gefängnisinsassen verletzt haben, da man dort auch auf Daten von über 70 Millionen Telefonaten sitzen soll, darunter wenigstens 14.000 aufgezeichnete Gespräche. Betroffen sind auch jene zwischen Häftlingen und ihren Anwälten, diese dürfen nicht mitgeschnitten werden. (red, 18.5.2018)