Der Positionsdatensammler Gravy Analytics hat eine Datenpanne eingeräumt, die zum Diebstahl der genauen Standortdaten von Millionen von Menschen geführt haben könnte. Gegenüber der norwegischen Regierung teilte Gravy Analytics, eine Tochtergesellschaft des Ortungsunternehmens Unacast, mit, dass man am 4. Januar einen "unbefugten Zugriff auf seine AWS-Cloud-Speicherumgebung" festgestellt habe. Das geht aus einem Dokument hervor, das vom norwegischen öffentlich-rechtlichen Rundfunk NRK veröffentlicht wurde.
Anzeige
Man arbeite "mit Hochdruck" daran, den Umfang des Vorfalls und die Art der betroffenen Informationen zu ermitteln, schreibt die US-Anwaltskanzlei BakerHostetler in der im Namen von Gravy Analytics an die norwegische Datenschutzbehörde Datatilsynet gerichteten Benachrichtigung über die Verletzung des Schutzes personenbezogener Daten. "Vorläufige Ergebnisse deuten darauf hin, dass eine unbefugte Person bestimmte Dateien erhalten hat, die persönliche Daten enthalten könnten." Diese würden derzeit analysiert. "Sollte sich herausstellen, dass personenbezogene Daten betroffen sind, stehen diese wahrscheinlich im Zusammenhang mit Nutzern von Drittanbieterdiensten, die diese Daten an Gravy Analytics liefern." Die Anwälte des Unternehmens erklärten weiter, dass Gravy Analytics derzeit prüfe, ob eine meldepflichtige Verletzung des Schutzes personenbezogener Daten vorliege.
Nach der Entdeckung der Datenpanne habe man sofort die Systeme gesichert, die Zugangsschlüssel zur AWS-Umgebung geändert, die Datenverarbeitungsplattform vorübergehend vom Netz genommen und eine Untersuchung mit Unterstützung externer Cybersicherheitsexperten begonnen, heißt es. Nach Angaben von Gravy Analytics sind die Datenverarbeitungsdienste seit dem 9. Januar wieder in Betrieb.
In der vergangenen Woche waren Spekulationen über das Datenleck bei Gravy Analytics aufgetaucht. Im Darknet behaupteten russischsprachige Kriminelle, Millionen Daten des Positionsdatensammlers erbeutet zu haben. Dazu gehörten Medienberichten zufolge offenbar auch Daten von beliebten Handyspielen wie Candy Crush sowie Dating-Apps wie Tinder und Grindr, Apps zur Überwachung von Schwangerschaften und anderen.
Die US-Handelsaufsicht Federal Trade Commission (FTC) erließ erst im Dezember eine Anordnung gegen Gravy Analytics und Venntel, die es beiden Unternehmen verbietet, sensible Standortdaten in Produkten oder Dienstleistungen zu verkaufen, offenzulegen oder zu verwenden. Die FTC schrieb damals, dass die Firmen Daten von Apps gesammelt und den Zugang zu diesen Daten an Unternehmen oder US-Regierungsbehörden verkauft hätten.
(