Nutzerdaten offen im Netz BR deckt Datenleck beim Fahrradverleiher Obike auf
München, Berlin, Frankfurt, Hannover - in immer mehr deutschen Städten bietet Obike Leihfahrräder an. BR Data und BR Recherche haben nun ein Datenleck beim Anbieter der gelben Räder entdeckt. Persönliche Daten und Bewegungsdaten von Nutzern auf der ganzen Welt waren bis vor Kurzem frei zugänglich.
Namen aus Deutschland, Handynummern aus der Schweiz, E-Mailadressen aus Großbritannien, Profilfotos aus Malaysia. Journalisten von BR Data und BR Recherche konnten im Internet Nutzerdaten des Fahrradverleihs Obike einsehen. Die Daten waren weder verschlüsselt noch anderweitig geschützt, sogar exakte Bewegungsdaten von Fahrten mit den Leihrädern lagen nach BR-Informationen mindestens zwei Wochen lang offen. Obike-Nutzer auf der ganzen Welt waren von diesem Datenleck betroffen.
Die Recherchen des BR zeigen, dass vor allem die Social-Media-Funktionen der Smartphone-App problematisch waren. Die App von Obike bietet Nutzern die Möglichkeit, Einladungs-Codes und Fahrten in den sozialen Netzwerken zu teilen. Damit ermöglichten sie, ohne es zu merken, den direkten Zugriff auf ihre persönlichen Daten. Kriminelle hätten durch diese Sicherheitslücke Kundendaten kopieren können - auch von Nutzern, die nichts über soziale Netzwerke geteilt haben. Nachdem der BR die Firma Obike mit dem Datenleck konfrontiert hatte, wurden die Sicherheitslücken geschlossen. Schriftlich teilt Obike mit:
"Obike tut alles, um eventuelle Sicherheitslücken schnell zu beheben und Nutzerdaten zu schützen."
Obike auf eine BR-Anfrage
Karte der von oBike gespeicherten Bewegungsdaten
Der BR hat eine Testperson auf eine Fahrt mit einem Obike geschickt. Der genaue Streckenverlauf war danach im Netz frei einsehbar.
Am Schwarzmarkt sind Nutzerdaten wie die von Obike Gold wert. Erst vergangene Woche machte ein Daten-Diebstahl beim US-Fahrdienstleister Uber Schlagzeilen. Der Konzern zahlte Hackern 100.000 Dollar, damit sie die gestohlenen E-Mail-Adressen und Telefonnummern von Kunden vernichten.
Verstoß gegen Datenschutzgesetz
Persönliche Informationen wie diese waren über die Obike-Schnittstelle einsehbar (zum Teil durch den BR unkenntlich gemacht)
Auch wenn das Datenleck bei Obike mittlerweile behoben ist, der fahrlässige Umgang mit den Nutzerdaten könnte dennoch Folgen haben. Das Bayerische Landesamt für Datenschutzaufsicht (LDA) bestätigte dem BR, dass es sich bei dem Datenleck um einen Verstoß gegen das Datenschutzgesetz handle: „Die Firma Obike begeht nach unserer Auffassung einen datenschutzrechtlichen Verstoß, weil die Vorgaben der Datensicherheit nicht eingehalten sind“, sagte LDA-Präsident Thomas Kranig. Seinen deutschen Firmensitz hat Obike in Berlin. Die BR-Recherchen haben die Berliner Datenschutzbeauftragte alarmiert:
"Zur Vorbereitung eines Kontrollverfahrens prüft die Berliner Beauftragte für Datenschutz und Informationsfreiheit derzeit ihre Zuständigkeit für diesen Sachverhalt."
Die Berliner Datenschutzbeauftragte
Und es gibt noch ein weiteres Problem mit Obike: Der Service des Fahrradverleihs verstößt nach Ansicht von Datenschützer Thomas Kranig auch gegen das Transparenzgebot. Denn welche Daten Obike von seinen Nutzern erfasse und was damit geschehe, sei beim Download der App nicht ersichtlich: „Es gibt Informationen, dass sie Bewegungsprofile erstellen und dass sie diese sogenannten verbundenen Unternehmen zur Verfügung stellen. Aber der Nutzer erfährt nicht, zu welchen Zwecken das gemacht wird und auch nicht, welche diese verbundenen Unternehmen sind, die diese Bewegungsprofile erhalten sollen“, so Kranig.
Markenrechte im Steuerparadies
Welche Unternehmen mit Obike verbunden sind, ist gar nicht so leicht herauszufinden. Denn hinter Obike steht ein internationales Geflecht an Firmen: OBG Germany GmbH, oBike Asia Pte Limited in Singapur oder etwa Obike Inc. im Steuerparadies Britische Jungferninseln. Obike teilt sich zudem einige Geschäftsadressen oder Mitarbeiter mit den Firmen Avazu und DotC United - Firmen, die unter anderem mit Online- und App-Werbung ihr Geld verdienen. Obike bestreitet, seine Nutzerdaten mit diesen Firmen zu teilen und teilt auf Anfrage schriftlich mit: “Das Geschäftsmodell von oBike in Deutschland sieht es heute nicht vor, Werbung von Dritten über die App auszuspielen.“ Die europäischen Rechte an der Marke Obike liegen bei der Firma DotC United Inc., die ebenfalls auf den Britischen Jungferninseln registriert ist.
Steuerexperte Gerhard Wipijewski von der Bayerischen Finanzgewerkschaft hat Erfahrung mit ähnlichen Firmenkonstruktionen:
"Ohne dass ich den konkreten Fall kenne, ist davon auszugehen, dass der Preis für die Markennutzung sehr hoch ist. In Deutschland bleibt dann von den Gewinnen, die dieses Unternehmen erzielt, nichts bis nur sehr wenig übrig und der Großteil des möglichen Ertrags fließt ins Ausland, landet auf den Britischen Jungferninseln und wird dort weitgehend steuerfrei sein."
Gerhard Wipijewski, Bayerische Finanzgewerkschaft
Obike teilte dem BR mit, die Markenrechte für Obike lägen bei Dotc United, weil sich Obike noch in der Gründungsphase befunden habe, als die Firma im Juni dieses Jahres in Europa an den Start ging. Alle Einkünfte von Obike in Deutschland würden in Deutschland versteuert.
Mittlerweile ist Obike dabei, weiter zu expandieren. Noch in diesem Jahr sollen die gelben Räder auch in Städten wie Prag, Athen, Budapest und Lissabon stehen. In Deutschland möchte Obike nun auch in kleinere Kommunen gehen. Landshuts Oberbürgermeister Alexander Putz beispielsweise posierte bereits auf Facebook mit einem Obike und nannte das Konzept spannend. Allerdings kannte er da die BR-Recherchen noch nicht. Jetzt will er sich das noch einmal überlegen.
"Die Gier nach Daten im Mobilitätssektor ist groß. Chinesische Anbieter sind neu auf dem deutschen Markt. Dass so kurz nach dem Start in Deutschland eine Datenpanne passiert, wirft viele Fragen auf. Wenn Fahrradverleih mit einem datengetriebenen Geschäftsmodell verknüpft wird, muss Datenschutz und Datensicherheit auf höchstem Niveau gesichert sein."
Marion Jungbluth, Verbraucherzentrale Bundesverband (vzbv)
Anmerkung
In einer früheren Version dieses Artikels fehlte der Hinweis, wie lange das Datenleck nach unserem Wissen mindestens bestand. Wir haben das im ersten Absatz ergänzt (30.11.2017, 16:45 Uhr).
Unsere Recherchen widersprechen außerdem der Darstellung von Obike-Manager Marco Piu bei Spiegel Online auf unsere Berichterstattung:
- Die Sicherheitslücken bestanden nach unserer Kenntnis mindestens zwei Wochen lang. Wir haben außerdem Hinweise von IT-Sicherheitsexperten aus Taiwan bekommen, dass das Datenleck auch schon im Juni 2017 bestand und die Firma Obike mehrmals darauf hingewiesen wurde. Dokumentiert ist dieser Fall hier.
- Die zweite Sicherheitslücke wurde erst am Mittwoch, 29.11.2017, geschlossen, nachdem wir Obike erneut darauf hingewiesen hatten.
- Betroffen waren nicht nur Nutzer in Deutschland, wir haben Namen, Telefonnummern, Profilbilder und Bewegungsprofile von Nutzern aus zahlreichen Ländern, wie Großbritannien, Singapur, Malaysia oder der Schweiz einsehen können.
Kommentieren
Bernd Einmeier, Donnerstag, 30.November 2017, 19:36 Uhr
6. Teil 3 | So nett sich die Headline liest, so unspektakulär sind, die Fakten
...
Ich halte es für eine typisch deutsche Eigenschaft bei Innovationen das Risiko immer zu betonen und nicht die Chancen hervorzuheben. Wo wären wir denn mit unserem Wohlstand, wenn wir nicht mutige Unternehmer hätten die etwas unternehmen, statt zu unterlassen und schlecht zu reden?
Ich freue mich auf Ihren nächsten Bericht der die Chancen von Innovationen hervorhebt.
Antwort von Wolf, Sonntag, 03.Dezember, 18:39 Uhr
Diese dämliche Firma finanziert sich durch Datenklau und deren Vermarktung.....super Innovativ,ich würde den Städten empfehlen Presscontainer aufzustellen zur sofortigen Entsorgung dieser Schrotträder.
Bernd Einmeier, Donnerstag, 30.November 2017, 19:35 Uhr
5. Teil 2 | So nett sich die Headline liest, so unspektakulär sind, die Fakten
...
Wie sie wissen, sind die deutschen und europäischen Datenschutzbestimmungen sehr strikt und man findet bei jedem Unternehmen etwas was man ankreiden kann; sicher auch beim Bayerischen Rundfunk wenn man nur danach sucht.
Schade ist nur, dass hier statt Aufklärung, Aufhetzung betrieben wird und eine gute Idee in Verruf gebracht wird.
Wann scheiben Sie eigentlich mal positiv über Innovationen, die die Innenstadt umweltfreundlicher machen, eine gute Ergänzung zum ÖPNV darstellen und die Autos in der Innenstadt reduzieren hilft?
Fortsetzung: siehe nächsten Kommentar
Einmeier Bernd, Donnerstag, 30.November 2017, 19:33 Uhr
4. Teil 1 | So nett sich die Headline liest, so unspektakulär sind, die Fakten
Das Datenleck als solches betraf nur eine relativ begrenzte Anzahl an Nutzern, welche ihre Trips auf sozialen Netzwerken geteilt hatten, und das waren wenige Duzend Personen. Es gibt darüber hinaus keinerlei Informationen, die nahelegen, dass Nutzerdaten in irgendeiner Form entwendet und weitergeben wurden. Noch gilt in Deutschland die Unschuldsvermutung bis etwas anderes bewiesen werden kann. Das schein hier aber nicht der Fall zu sein, also sollten Sie hier, im Sinne eines seriösen Journalismus, auch nicht vorverurteilen.
Natürlich sollte Datensicherheit in jedem Unternehmen groß geschrieben werden und es ist schade, dass neben Uber und weiteren Unternehmen auch oBike nicht vor solchen Sicherheitslücken gefeit ist. Wie sie selber schreiben hat das Unternehmen oBike ja auch sehr schnell den Fehler bei bekannt werden korrigiert.
Fortsetzung: siehe nächsten Kommentar .
Wolfgang, Donnerstag, 30.November 2017, 11:52 Uhr
3. Frage an die IT-Experten:
1. Ist diese App dauernd aktiv?
2. Hat die Zugriff auf im smartphone gespeicherte Positionsdaten?
3. Funktioniert die Leih- und Rückgabetransaktion auch dann wenn das samrtphone während der Fahrt im "Flugmodus"
sich befindet, nach der STVO-Rechtsprechung ist das sowieso sehr empfehlenswert.
Also nur de Postionsdaten vom Anfangs- und Rückgabeort der App verfügbar wären.
Antwort von Andi, Donnerstag, 30.November, 14:27 Uhr
Die iOS Version der oBike App erlaubt inzwischen folgende Optionen bezüglich des Standorts: "Nie", "Beim Verwenden" und "Immer". Wenn man die Option "Nie" wählt kann man keine Fahrräder ausleihen. Ich habe die Option "Beim Verwenden der App" gewählt, weswegen ich davon ausgehe das der aktuelle Standort nur während die App offen ist (+die 10? Minuten Nachlaufzeit die das Betriebssystem iOS da ggf. erlaubt) abgefragt werden kann. Theoretisch kann man das durch Geofences oder Local Notificaitons durch das Bluetooth LE Schloß umgehen, aber davon habe ich im Kontext der Obike App noch nichts gehört. Beim Abschließen meldet sich das Schloss wiederum per Bluetooth LE (kurz BLE) und die aktuelle Location wird wiedrum an die Obike Server geschickt.
Welche Konfiguration (Andorid oder iOS + Standorteinstellung) das BR-Data Team verwendet hat geht aus dem Artikel nicht hervor.
Zu 3: Sollte funktionierten -> Im Zweifel einfach mal ausprobieren.
Antwort von BR Data, Donnerstag, 30.November, 16:02 Uhr
Liebe User, vielen Dank Ihr Interesse!
Unser Fokus lag auf den beiden Datenlecks bei der Nutzung von Social-Anwendungen der O-Bike-App. Bei der Rückgabe wird der Standort des Smartphones an O-Bike übermittelt, das heißt die Fahrräder selbst haben kein GPS-Modul. Ob die Rückgabe im Flugmodus funktioniert, wissen wir nicht. Wir haben mit Android gearbeitet, Standortinformation war aktiviert.
Mit freundlichen Grüßen
BR Data
Blechmann13, Donnerstag, 30.November 2017, 09:19 Uhr
2. Sorry,...
...aber wer bei so etwas mitmacht, ist selbst Schuld...oder es sollte ihm egal sein...
Solche "Anbieter" finanzieren sich größtenteils, selbst wenn sie keine Daten-Lecks haben, vornehmlich über die Verwendung ihrer Kundendaten zu Werbezwecken, oder gar den Verkauf derselben an Dritte.
Tragen die Kunden dabei auch noch ein "Fitness-Armband" mit App-Verbindung zum Smartphone ist der "Gläserne" Benutzer schon so durchsichtig, dass jedes Brillenglas neidisch wird. ^^
mfg
Antwort von madhu dagmar frantzen, Donnerstag, 30.November, 10:24 Uhr
Sie sind ein Zyniker, Blechmann 13, und selbst wenn Ihre Einschätzungen grosses Realitätsbewusstsein und Kenntnisse ahnen lassen, geht es mir doch gewaltig auf die Nerven, dass Sie dem Endnutzer/Verbraucher sagen " selber schuld". Tatsache aber ist, dass es eine politische Aufgabe wäre, den Datenkannibalen, den verirsachern, die sich kriminell verhalten, Einhalt zu gebieten und das so nachhaltig wie eben möglich .
Antwort von Blechmann13, Donnerstag, 30.November, 12:03 Uhr
@madhu dagmar frantzen
Selbst wenn die Politik hier etwas ändern könnte, was ich stark bezweifle, da Datenlecks heutzutage zu den "Tagesmeldungen" gehören, sei es bei Siemens, Apple, oder Microsoft, mit der ständig steigenden Datenflut und einer kriminellen Energie, auf die deutsche Behörden meist überhaupt keinen Einfluss/zugriff haben, sollte sich der "Anwender" zu mehr Eigenverantwortung gezwungen sehen, oder aber nach der Devise aller Überwachungsbefürworter leben:
"Von mir aus können die alle gucken, ich habe nix zu verbergen..."
mfg