Standort-Datenbank vieler US-Amerikaner gehackt

Article by · 18. Mai 2018 ·

Erst vor wenigen Tagen berichtete PC.Welt darüber, dass US-Mobilfunkprovider Echtzeit-Standortdaten ihrer Kunden an private Unternehmen verkaufen. Nun ist einer dieser Abnehmer von den Datenbanken Opfer von Hackern geworden. Darunter befinden sich Nutzernamen und schlecht geschützte Passwörter von Tausenden Securus-Kunden, speziell von Strafverfolgungsbehörden.

Im vergangenen Herbst wurde bekannt, dass die größten Anbieter zum Beispiel AT&T, Sprint, T-Mobile und Verizon seit Jahren in Echtzeit ermittelte Standortdaten an andere Unternehmen weiter verkaufen, beispielsweise an LocationSmart. Betroffen ist damit fast jeder US-Bürger. Ebenso benutzen Tausende Gefängnisse in den Vereinigten Staaten Securus Technologies. Häftlinge können damit ihre Familie, Freunde oder ihren Anwalt anrufen. Securus nutzt die zugekauften Daten für seine Tracking-Dienste, die es etwa der Polizei ermöglichen, die Standorte von Verdächtigen nachzuvollziehen. Man wirbt damit, Mobilgeräte auch bei abgeschaltetem GPS auf Basis von Anrufdaten orten zu können. Das System scheint keiner engmaschigen Kontrolle zu unterliegen und wurde unter anderem schon von einem Sheriff missbraucht, um die Standorte anderer Polizeibeamter abzufragen. Der Dienst kann den Aufenthaltsort von fast jedem Handy im Land innerhalb von Sekunden finden.

Securus, ein Entwickler von Technologien für Gefängnisse und Strafverfolgungsbehörden wurde nun Opfer eines Cyberangriffs. 2.800 Kundenlogins wurden offenbar illegal aus einer Datenbank von Securus, kopiert. Zum Beweis des Hacks hat der mutmaßliche Angreifer einen Teil der Daten sowie interne Dokumente von Securus an das Technikmagazin Motherboard übermittelt.
Die erbeuteten Daten gehen bis zum Jahr 2011 zurück. Die Passwörter wurden mit dem mittlerweile unsicheren MD5-Algorhytmus verschlüsselt. Häufig lässt sich dadurch das tatsächliche Passwort ableiten. Der Versuch, das Passwort der erbeuteten Nutzerkonten zurückzusetzen, hätte immer zum Erfolg geführt. Unklar ist, ob der Hacker sie entschlüsselt hat oder sie bereits so gespeichert wurden.
„Die Konten sind demnach tatsächlich bei Securus vorhanden. An der Echtheit der Daten gibt es hingegen kaum Zweifel“, so schreibt Motherboard.

Wie viele der vom Hack betroffenen Kunden Zugriff auf die Standortabfrage hatten, ist unklar. Neben Mitarbeitern von Securus und Polizisten stehen in dem Auszug Daten zahlreicher Gefängnismitarbeiter. Die Electronic Frontier Foundation kritisiert, dass das System offenbar Standortabfragen ohne richterliche Genehmigung ermöglichte.

Der Vorfall wird die hitzige Debatte um die Rechtmäßigkeit dieser Datenerfassung wohl weiter verstärken. Dadurch wird sichtbar, wie schlecht diese sensiblen Daten vor dem Zugriff Dritter geschützt sind, schließlich handelt es sich um in Echtzeit ermittelte Standortdaten von nahezu jedem Mobilfunknutzer in den USA.

Quelle: Beitragsbild kalhh,thx! (CC0 1.0)

"Standort-Datenbank vieler US-Amerikaner gehackt", 5 out of 5 based on 1 ratings.

Mehr zu diesem Thema:

13 Comments

  • comment-avatar

    Marek Meier


    Ich gebe euch recht. Aber es gibt doch genug Simkarten zu kaufen die schon registriert sind, nehmen wir mal an einer wohnt in einer Mietskaserne, als ob die Polizei alle Wohnungen durchsuchen kann. Es steht in keinem Verhätnis.

    Und ja ich vermute auch das solche Daten erhoben werden, deshalb einmal im Monat neuen LTE-Stick und neue Simkarte.

    Und nein bei mir gehts nicht um Fraud.

    Und Starkstrom danke für die Beleidigungen.

    Natürlich geht die Ortung auf 10 cm im zivilen GPS genau, aber nicht bei UMTS oder LTE. Es sind keine GPS-Chips in diesen Sticks verbaut, also technisch unmöglich.

    Du weißt zum Glück nicht meinen alten Arbeitgeber, somit ist es deine Meinung und die lasse ich dir gerne.

    Die technischen Aspekte, kannst du gerne auf genug Seiten nachlesen was möglich ist und was nicht.

    Es steht in vielen seriösen Fachberichten drin was möglich ist und was nicht.

    Das Daten lange gespeichert werden, gehe ich mit weiß ich auch.

    Ich erkläre es dir sogar an einem kleinen Beispiel, das du den Unterschied auch verstehen kannst.

    Netzclub behält sich vor, da sie dir Gratis-Internet geben deine Standort und Nutzungsdaten zu speichern und zu verwerten, auf unbegrenzte Zeit.

    O2-Loop hingeben speichert keine Standortdaten außer mit ausdrücklicher Zustimmung, normal maximal deine Verkehrsdaten.

    Und jetzt das wichtigste glaubst du allen erstes, das ein Anbieter freiwillig Daten speichert, die er nicht will. Es kostet nur unötig Geld die Daten zu behalten zu archivieren etc.

    Es sind tausende Verfahren zur Zeit eingestellt wurden, die Beamten beschweren sich, das sie Strafverfahren einstellen müssen, gerade weil nicht gespeichert wird.

    Ich weiß echt nicht ob ich da ein Spinner bin, oder du nur unwissend.

    Gab da sogar hier auf Tarnkappe einen Artikel dazu, weiß nur nicht mehr wann.

    In diesen Sinnes einen schönen Samstagabend.

    • comment-avatar

      Mauzi


      Reg dich bitte nicht über 1 Stimme auf..
      1 Stimme von ganz vielen…was ist das schon?

      Schönen Abend.. für dich

    • comment-avatar

      Mein Google weiß alles...


      Du weißt zum Glück nicht meinen alten Arbeitgeber, somit
      ist es deine Meinung und die lasse ich dir gerne.

      Google – Was spukt die Suchmaschine aus „Marek Meier“
      Ehemaliger Mitarbeiter bei der Telekom ?
      Wenn das dein richtiger Name ist, erwischt!!!

      Würde einiges erklären…

      • comment-avatar

        Mauzi


        Muhahaha wäre das nicht ein wenig zu einfach?
        Das ist genauso ein Nick wie Mein Google weiß alles… *lach
        Aber was ich gut finde.. er wechselt nicht die Nicks wie andere die Unterhosen.. Manche müssen sehr viele Bremsspuren in ihrer Unterhose haben.. die wechseln mehrmals am Tag den Nick.

        • comment-avatar

          Mein Google weiß alles...


          Mauzi, da gebe ICH dir recht. Allerdings muss ICH
          meinen Nick ab und dann ändern, weil mein Haupt-
          Name bereits bösartig geclont wird! Der Typ mit
          der „Wiese“ geht mir aber richtig auf den Zeiger!

          Eigentlich bin ICH der mit den meisten negativen
          Votes. (Tschuldigung muss gleich weinen).

          Bin ja eigentlich ein Lieber und Netter. Genauso
          wie der Marek. Wäre ja ziemlich dämlich von ihm,
          sich unter seinen Original Namen hier zu verkaufen,
          wobei er ja ein „Meister“ in Tarnungs-Tipps aller
          SIP V5 GeSocks Sims ist.

          „Penny“ – Warum hast du Pippi in den Augen?
          „Frawul“ – Einer muss heute die „Zwiebelsuppe“
          fertigmachen…

  • comment-avatar

    ImTheOneWhoKnocks


    „Die Passwörter wurden mit dem mittlerweile unsicheren MD5-Algorhytmus verschlüsselt.“

    Sorry, dass ich hier meckere, aber eines sollte klar sein: MD5 ist keine Verschlüsselung, sondern lediglich ein (sehr schlechtes) One-Way-Hashing-Verfahren. @Mauzi: Das solltet ihr korrigieren ;) Dazu noch den hier: https://www.vb-paradise.de/index.php/Thread/95950-Erkl%C3%A4rung-was-ist-eine-Verschl%C3%BCsselung-und-was-ist-ein-Hash/

  • comment-avatar

    STARKSTROM


    Zitat:
    „Zum Glück geht das in Deutschland technisch und rechtlich gesehen nicht.“ Technisch nicht weil unsere Technik diese Möglichkeiten nicht bietet. “

    Muss hier mal richtig widersprechen!
    Herr „Meier“ , auf welchen Planeten lebst du denn?
    Das soll technisch nicht möglich sein … !

    Natürlich geht Handy-Ortung hier auf Deutschland bis auf wenige „cm“ genau! Das ist technisch möglich, wird auch
    z.T. von verschiedenen Diensten durchaus schon genutzt.

    Schreib lieber mal etwas weniger, aber dann Kommentare
    mit grösserem Wahrheitsgehalt bzw. Niveau.

    Die Märchenstunden sind hier manchmal nicht auszuhalten… / Dein Elysium Gerede als hättest du da etwas vollbracht ,
    nichts als „Schall und Rauch“. Stufe dich langsam als einen Spinner ab.

    Vorratsdatenspeicherung ausgesetzt ?

    Natürlich wird allerhand protokolliert, auch seitens der
    Provider/Telekomanbieter etc., nicht nur nach 7 Tage
    werden manche Providerdaten aufbewahrt, nein manche
    halten die Daten für Jahre vor. (Da sein man sicher).

    Wenns hart auf hart kommt, werden die Daten durchweg weitergereicht… (Nur eine Frage der Schwere der Straftat)

    https://www.spiegel.de/netzwelt/netzpolitik/ermittler-nutzen-verstaerkt-unbemerkte-handy-ortung-a-920730.html

  • comment-avatar

    Marek Meier


    Zum Glück geht das in Deutschland technisch und rechtlich gesehen nicht.

    Technisch nicht weil unsere Technik diese Möglichkeiten nicht bietet. Nichtmal Triangulation, auch wenn dies gerne behauptet wird. DIe maximale Genauigkeit beträgt in Deutschland irgendwas zwischen 10-25 m per Handynetz im städtischen Gebiet, auf dem Land beträgt sie teilweise bis zu 1 KM.

    Meistens ist es eine Funkzellenellenortung per stiller SMS, die wie schon gesagt sehr ungenau ist.

    Rechtlich gesehen schon gar nicht, weil Standortdaten in Deutschland, nicht aus Abrechnunggründen erhoben werden und auch nicht erhoben werden dürfen.

    Ausetzung der Vorratspeicherung etc sei dank.

    Ein Paradies für Betrüger, die somit Ihren Sandort unkenntlich machen können.

    • comment-avatar

      Pudelmütze


      Ganz schön naiv, einfach zu glauben, das derartige Daten in Deutschland nicht erhoben werden, nur weil es dafür keine rechtliche Grundlage gibt. Im Umkehrschluss kann das im Fall nämlich auch keiner beweisen.

      • comment-avatar

        Mauzi


        Ich muss dir da recht geben.. Mir dem neuen Polizeigesetz ..der CSU…dürfen die Daten erheben.. wenn ein Verdacht auf eine Straftat vorliegt.. Darunter fällt auch die Handyortung …Bisher nur in Bayern aber die anderen Bundesländer werden da nachziehen..

        • comment-avatar

          STARKSTROM


          Falls besondere Ereignisse vorliegen, z.B. Fahndung
          nach Terrorverdächtigen etc. wird bereits Handy-Ortungen vorgenommen, oder wenn z.B. in Gefahr in
          Verzug ist! – siehe nachfolgend.

          Lasst euch doch nich weißmachen, das sowas
          nicht technisch möglich wäre. Wenn die wollen,
          können die genau deine Ortungsdaten ansagen,
          das auf „Meter“ bzw. „Zentimetergenau“.
          Das geht auf Nachdruck minutenschnell.

          Verweise hier noch auf einen Link, bei dem ein
          „Transit- Killer“ aufgrund von „Handy-Ortungs-
          Verfahren“ ermittelt wurde.

          Hier ein kurzer Auszug aus einen Bericht, siehe
          Anlage:

          Zitat:
          Zudem zeigten Handy-Daten des Angeklagten, dass er
          in Endingen zur Tatzeit in der Nähe des Tatorts war.
          Zitatende

          Die wollen uns allerdings in dem Artikel weißmachen
          das die „Maut-Stellen“ zum Fahndungserfolg
          geführt haben, tatsächlich waren es aber die
          Handy-Abgleiche die gemacht wurden…

          https://www.merkur.de/welt/prozess-gegen-lkw-fahrer-nach-mord-an-joggerin-beginnt-zr-9384587.html

          • comment-avatar

            Mauzi


            Ja ich weiß.. ich habe mich damit auch schon befasst..
            Ich bin da gespalten.. Auf der einen Seite empfinde ich das als „GUT“ weil ein Mörder o.ä, gefasst werden konnte..
            Auf der anderen Seite: Der Datenschutz.. Wir stehen total unter Kontrolle. Erwachsene Bürger.. werden kontrolliert wie kleine Kindergartenkinder.. Wir sind keine freien Menschen mehr, die tun und lassen können was sie möchten. Und das ist der Punkt der mir bitter aufstößt. „Ich möchte das nicht. Ich möchte nicht kontrolliert werden“.
            Es reicht doch schon das dir deine Frau / Freundin eine App auf dein Handy draufnudeln kann, um dich zu kontrollieren.. Das ist doch schon unter aller Kanone.

    • comment-avatar

      Hartzer sind doof


      Und trotzdem sind viele doof genug, darüber erwischt zu werden. *UPS WAS FÜR BETRÜGER TROTTEL*


Leave a comment