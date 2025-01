Ein Mega-Datenleck zeigt gerade auf, warum es sinnvoll ist, das App-Tracking durch Unternehmen abzulehnen. Soweit derzeit bekannt, hat ein Hacker bei einem Angriff auf den Datenhändler Gravy Analytics mehrere Terabyte an sensiblen Daten erbeutet, mit deren Hilfe sich beispielsweise aufzeigen lässt, wo Personen leben, arbeiten oder reisen.

Auf Basis dieser Daten ist es beispielsweise möglich, die Aufenthaltsorte von Nutzern bestimmter Apps abzufragen und so beispielsweise zu sehen, wo sich diese bevorzugt aufhalten. In der Grafik unten sind dies beispielsweise Tinder-Nutzer in Großbritannien.

Gravy Analytics hat am Wochenende einen entsprechenden Vorfall bestätigt, jedoch keine konkreten Details genannt. Die Webseite des Unternehmens wurde offenbar gemeinsam mit weiteren Netzwerkdiensten aus Sicherheitsgründen offline genommen und ist weiterhin nicht erreichbar.

Der Sicherheitsforscher Baptiste Robert macht das Ausmaß des Vorfalls in diesem Thread auf X deutlich. Dort zeigt Robert auch anhand von verschiedenen Beispielen auf, was sich konkret mit den erbeuteten Daten anstellen lässt. Zwar handelt es sich um anonymisierte Datenpunkte, doch können diese aufgrund der besuchten Orte wie Arbeitsplätze und Wohnhäuser recht einfach Rückschlüsse auf konkrete Personen zulassen.

Die erbeuteten Daten sollen aus einer Vielzahl populärer Apps stammen, darunter Fitness-, Dating- und Navigationsanwendungen. Der Hacker hat eine 1,4 GB große „Kostprobe“ davon in Onlineforen veröffentlicht, die mehr als 30 Millionen Ortspunkte enthält. Der komplette Datensatz soll rund zehn Terabyte groß sein, was dem Sicherheitsforscher zufolge mehr als 271 Milliarden Ortspunkten entspräche.

️ The Gravy Analytics breach exposes how easily citizens can be tracked:

– Seen at Space Launch Complex 36

– Work commute mapped

– Stops at Home Depot & family visits near Kansas City logged

A stark reminder of the privacy risks in location data collection. https://t.co/uXGWR6UUGu pic.twitter.com/EiI5TUNmNY

— Baptiste Robert (@fs0c131y) January 9, 2025