Oha! Diese Android-Tastatur-App legte versehentlich die persönlichen Daten von 31 Millionen Nutzern offen

von Graham Cluley, veröffentlicht am 14 Dezember 2017

Die E-Mail-Adressen, Telefonnummern und exakten Standorte von 31 Millionen Nutzern einer Android-Tastatur-App wurden durch pure Nachlässigkeit des App-Entwicklers öffentlich zugänglich.

Laut einem Bericht von ZDNet erzeugte die Tastatur-App ai.type eine 577 GB große Datenbank mit persönlichen Daten auf einem ungesicherten Server, die für jedermann mühelos und ohne Eingabe eines Passworts zugänglich war.

Die App zum individuellen Anpassen der Tastatur, die vom Google Play Store etwa 40 Millionen Mal heruntergeladen wurde, speicherte Informationen in einer MongoDB-Datenbank, die nicht ordnungsgemäß gegen unberechtigten Zugriff geschützt war.

Und als ob es nicht schon schlimm genug gewesen wäre, dass 31 Millionen Nutzer der App damit gefährdet wurden: Eine der von Experten entdeckten Datenbanktabellen enthielt die erstaunliche Zahl von 374,6 Millionen Telefonnummern, die von der App (aus welchen Gründen auch immer) gesammelt worden waren, nachdem sie die Kontakte der Nutzer aus deren Smartphones hochgeladen hatte.

Und es ging noch weiter: In der frei zugänglichen Datenbank waren außerdem noch Informationen dazu gespeichert, welche Apps auf wessen Gerät installiert waren, einschließlich Online-Banking- und Partnervermittlungs-Apps.

Die Nutzer der kostenlosen Edition von ai.type waren in besonderem Maße betroffen, da diese Version der App noch mehr Informationen sammelt als die kostenpflichtige Variante, um durch gezielte Werbung finanzielle Vorteile zu erlangen.

Laut den Sicherheitsexperten von Kromtech, die die ungesicherte Datenbank entdeckt haben, waren mehrere Versuche notwendig, um ai.type zu kontaktieren und den unzureichend konfigurierten Server sichern zu lassen.

Wie früher schon festgestellt wurde, machen viele Administratoren den Fehler, die Software nicht ordnungsgemäß zu konfigurieren – obwohl MongoDB durchaus über geeignete Sicherheitsfunktionen verfügt. Damit breiten sie Datendieben den roten Teppich aus.

MongoDB hat seinerseits eine Sicherheits-Checkliste veröffentlicht, die praktikable Maßnahmen zum Schützen von Installationen der Software enthält.

Ob man solche Datenlecks als Panne oder als Zeichen für Inkompetenz ansieht, ist eine Frage der Sichtweise. Eines ist jedoch klar: Es sind ahnungslose Nutzer, deren Privatsphäre und Sicherheit in Gefahr gerät, wenn Entwickler, wie diejenigen von ai.type, so nachlässig zu Werke gehen.

Graham Cluley

Graham Cluley is an award-winning security blogger, researcher and public speaker. He has been working in the computer security industry since the early 1990s. In 2011, Graham was inducted into the InfoSecurity Europe Hall of Fame.