10 TB Standortdaten abgeflossen
Riesiges Datenleck: Darum ist „App-Tracking ablehnen“ eine gute Idee
Ein Mega-Datenleck zeigt gerade auf, warum es sinnvoll ist, das App-Tracking durch Unternehmen abzulehnen. Soweit derzeit bekannt, hat ein Hacker bei einem Angriff auf den Datenhändler Gravy Analytics mehrere Terabyte an sensiblen Daten erbeutet, mit deren Hilfe sich beispielsweise aufzeigen lässt, wo Personen leben, arbeiten oder reisen.
Auf Basis dieser Daten ist es beispielsweise möglich, die Aufenthaltsorte von Nutzern bestimmter Apps abzufragen und so beispielsweise zu sehen, wo sich diese bevorzugt aufhalten. In der Grafik unten sind dies beispielsweise Tinder-Nutzer in Großbritannien.
Bild: Baptiste Robert / X
Gravy Analytics hat am Wochenende einen entsprechenden Vorfall bestätigt, jedoch keine konkreten Details genannt. Die Webseite des Unternehmens wurde offenbar gemeinsam mit weiteren Netzwerkdiensten aus Sicherheitsgründen offline genommen und ist weiterhin nicht erreichbar.
Der Sicherheitsforscher Baptiste Robert macht das Ausmaß des Vorfalls in diesem Thread auf X deutlich. Dort zeigt Robert auch anhand von verschiedenen Beispielen auf, was sich konkret mit den erbeuteten Daten anstellen lässt. Zwar handelt es sich um anonymisierte Datenpunkte, doch können diese aufgrund der besuchten Orte wie Arbeitsplätze und Wohnhäuser recht einfach Rückschlüsse auf konkrete Personen zulassen.
Rund 10 TB Daten erbeutet
Die erbeuteten Daten sollen aus einer Vielzahl populärer Apps stammen, darunter Fitness-, Dating- und Navigationsanwendungen. Der Hacker hat eine 1,4 GB große „Kostprobe“ davon in Onlineforen veröffentlicht, die mehr als 30 Millionen Ortspunkte enthält. Der komplette Datensatz soll rund zehn Terabyte groß sein, was dem Sicherheitsforscher zufolge mehr als 271 Milliarden Ortspunkten entspräche.
️ The Gravy Analytics breach exposes how easily citizens can be tracked:
– Seen at Space Launch Complex 36
– Work commute mapped
– Stops at Home Depot & family visits near Kansas City loggedA stark reminder of the privacy risks in location data collection. https://t.co/uXGWR6UUGu pic.twitter.com/EiI5TUNmNY
— Baptiste Robert (@fs0c131y) January 9, 2025
Robert spricht davon, dass es sich hier längst nicht mehr um ein gewöhnliches Datenleck, sondern definitiv um ein Sicherheitsrisiko handelt. Beispielsweise habe er auf Basis der Daten ohne Aufwand Militärangehörige identifizieren können, indem er einzelne Militärstandorte ausgewertet hat. In vergleichbarer Weise könnte man die Daten dazu nutzen, um Menschen zu verfolgen, die bestimmte Veranstaltungen, Ärzte oder dergleichen besuchen.
Dunkle Geschäfte auf dem Werbemarkt
Wie Gravy Analytics diese Datenbank aufgebaut hat, bleibt weitgehend ein Geheimnis. Das Unternehmen nutzt wohl Bieterauktionen im Online-Werbemarkt dazu, seinen Datenbestand zu erweitern. Die dort erhältlichen Datenpakete stammen aus verschiedensten Apps und können Informationen wie Geräte-IDs, IP-Adressen und mehr enthalten.
Der Sicherheitsforscher weist im Rahmen seiner Ausführungen mehrfach darauf hin, dass man die Tracking-Anfragen einzelner Anwendungen nach Möglichkeit generell verweigern soll.
Infos zu den entsprechenden Einstellungen in Apple-Geräten findet ihr hier:
Frage mich immer, Sicherheitslücke hin oder her, aber warum bekommt man den Upload von 10 TB nicht mit? Müsste Ja sämtlicher Dinge ein bremsen. Müsste man doch stutzig werden.
Langsam uploaden oder häppchenweise. Da sieht man wieder mal wie aufmerksam und sauber in unzähligen Unternehmen gearbeitet wird
Ich würde mal sagen das 10 TB bei so einem Datensammler wie Gravy Analytics eher Peanuts sind und die täglichen Up- und Downloads da weit weit drüber sind und 10 TB eher Peanuts sind.
Gleiches hab ich mich auch direkt gefragt. Selbst bei einer 1000er Leitung würde es ca. 22 Stunden dauern. Und bei 100 Mbit entsprechend knapp 10 Tage. Hmm, wer weiß wie groß die sind, vielleicht fällt das bei denen tatsächlich nicht ins Gewicht.
Du denkst also, dass das jemand von zu Hause aus startet?
Habe Glasfaser mit 2,5 .. also 11h, passt (eine Nacht)
Allerdings bräuchte ich erst mal 3x neue EVOs (SSDs), mein hdd RAID bekommt die Geschwindigkeit nicht hin.
2,5 Äpfel? 2,5 Gbits steht bei mir an was ca. 313MB/s währen, wenn dann die langsame HDD mit 200MB/s arbeitet dann wär das doch gleich fertig.
Dann stimmt mit deinem raid was nicht.
Eine seagate exos x18 mit 18tb schafft 258MiB also 2gbit, davon zwei stück im raid 0 dementsprechend 4gbit…
10TB sind – gut verteilt – nichts .. Es erfolgen selbstverständlich multiple Abfragen, von dynamisch wechselnden IPs und mit unterschiedlichen Blockgrößen und unterschiedlichen Bandbreiten … kein Hexenwerk und so lange man das eigentliche Datenleck nicht entdeckt ist, gehen die Zugriffe völlig im Grundrauschen unter
Das sind Firmen, die auf Milliarden von Smartphone Tracker installiert haben und bei denen daher ununterbrochen irrsinnige Datenmengen von eben diesen Smartphones eintreffen. Da fällt doch nicht auf, wenn da einer noch ein paar Terrabyte an Daten abzieht. Das geht doch völlig unter.
Wie dumm seit ihr eigentlich? Es wurden doch nicht 10TB von einem User Zuhause upgeloaded…
Grundgütiger, Markus.
Wer im Glashaus sitzt…
Ca 271 Mrd. …
und das waren nur 10 TB…
Wer schaltet das apptracling denn überhaupt ein oder erlaubt es freiwillig im Dialogfeld?
Du und ich anscheinend nicht…
Die meisten WhatsApp App Nutzer
Warum die meisten WhatsApp User?
Auch hier kann man das Tracking ablehnen ohne das es zu einer Einschränkung kommt.
Oder wolltest du nur trollen?
Ist einer der ersten Dinge die ich bei einem neuen iPhone mache – Trackinganfragen global abschalten.
Aha…
Wie war das mit den Privaten MAC-Addressen bei Apple vor kurzem doch gleich..?
Was hat das mit der Apptracking-Funktion zu tun?
Genau, nichts.
Verstehendes Lesen, probier das doch mal…
Immer gleich bashen. Calm doch mal down.
Haha jetzt omg schlimm aber das Firmen sowas haben ninja ist halt so xD die verkaufen doch eh an alle
OK…
Was?
Jetzt hat die Datenschutz-Abteilung Arbeit zur Aufarbeitung des Falls bis zur Rente …
Das Unternehmen wird eingestellt und direkt ein neues aufgemacht ;)
Welche Datenschutzabteilung? Das hat mit Datenschutz eher nix zu tun.
Zum Glück geht das wunderbar auf dem iPhone, oder auch Apple TV. Mit Android ist man total gläsern.
Du weißt schon, dass das totaler Unsinn ist, richtig?
Wie kann man das nachvollziehen. Was sind deine Argumente für deine These?
Einfach mal googeln:
„Sowohl bei iOS als auch bei Android können Sie mittlerweile für einzelne Apps festlegen, ob sie Ihr Nutzungsverhalten zu Werbezwecken auswerten dürfen.
Bei Android können Sie auch verbieten, dass anonymisierte Daten zu Ihrer Werbenutzung an Werbetreibende weitergegeben werden.“
Kein Unsinn, das bekannteste Beispiel ist die Android Tiktok App. Extremer Datenabfluss.
@U.M.: Dann google mal nach „Tiktok iOS privacy breach“.
Übrigens, wer immer nur halbe Wahrheiten von sich gibt, streut auch Fakenews.
Um an derartige Daten zu kommen, braucht es noch nicht mal einen Hacker Angriff, wie die Kollegen auf der 38C3 gezeigt haben:
https://youtu.be/C6pW9Wu5YH4?si=-2t23o-wVe8RjtVq
Einen derartigen Datensatz bekommt man quasi schon als Geschmacksmuster um zu bewerten, ob ein Abo dieser Daten die Wünsche erfüllt.
Macht das Ganze aber nicht besser – ganz im Gegenteil…
Apple Anti-Tracking + 1Blocker Firewall
1Blocker ist klasse. Und verbraucht kaum Akku.
Blödes Abo oder direkt mal 45€…somit unattraktiv.
Ist klar Datenschutz darf halt nichts kosten
Dir sind dafür 45 € zu viel? Oookay
Daheim piHole laufen lassen und dann VPN nach hause ist günstiger und kann doch das selbe? Klar ist mehr arbeit oder übersehe ich da was?
Da wäre mir dann das Internet unterwegs zu langsam @R4inb0wD4sh
Ist 1Blocker nicht russisch?
1Blocker LLC ist ein Softwareunternehmen mit Sitz in Sheridan, Wyoming, USA. Die Firma entwickelt den gleichnamigen Werbeblocker für Apple-Geräte wie iPhone, iPad und Mac.
Russisch war AdGuard
Wäre nice, wenn die Apps dann wirklich nicht tracken würden. Aber sie tun es doch.
Nicht mit 1Blocker Firewall
Kenn ich nur als Plugin für Safari. Das hilft dann bei anderen Apps nicht.
Hab ich was übersehen?
Mit 1Blocker Scripts lässt sich auch bei Apps blocken. Die ganzen Apps mit ihren Werbebanner, die man per Abo wegkaufen kann sind mit dem einen Abo oder Einmalkauf dann ohne Werbung
Wie geht das genau?
1Blocker erzeugt ein lokales VPN um den kompletten Datenverkehr von Trackern zu befreien. Dabei läuft das alles auf dem Handy.
Wenn da mal keine Daten dabei sind die in Metas Universum gesammelt, und dann verkauft worden sind….
Da erscheint ja Zuckerbergs Polemik gegen Apple in einem ganz neuen Licht.
In meinen Tracking-Anforderungen erscheint allerdings auch ifun!
Tracking, Cookies das alles sollte verboten werden. Am besten wäre es wenn auch jegliche Werbung verboten sein würde.
Leider ist Werbung oft die einzige Option für die Finanzierung von Websites und sonstigen Diensten.
Viele Konsumenten erwarten, dass ihre Konsumgüter gratis angeboten werden.
Es wäre mal spannend, wie das Internet aussehen würde, wenn alle werbe- und tracking finanzierten Dienste für einen Tag ihre Arbeit einstellen würden. Dann wäre das Internet wohl sehr ruhig.
Gegen Werbung wäre ja gar nichts einzuwenden, wenn das noch in einem vernünftigen Rahmen passiert und ohne Tracking. Aber heute werden Werbeplattformen ja möglichst ohne teures Personal voll automatisch betrieben, was wegen fehlender Kontrolle durch Kriminelle dann sehr leicht missbraucht werden kann (allein deswegen muss man sich schon durch Adblocker schützen). Das Massengeschäft drückt dann massiv die Preise, was dann dazu führt, dass immer Werbebanner auf eine Seite gestopft werden, um noch ausreichend Geld einzunehmen, was wiederum den Wert eines Banners reduziert, weswegen dann noch mehr Werbung geschaltet wird. Ein Kreislauf des Todes…. Einige Seiten sind so völlig unbrauchbar, da man den Inhalt vor lauter Werbung nicht mehr findet.
Und der Nutzwert des Trackings der Nutzer ist vermutlich auch eine Illusion, eine Lüge der Werbeindustrie um Werbetreibenden mehr Geld aus der Tasche ziehen zu können. Vermutlich ist es deutlich sinnvoller, die Werbung anhand der Inhalte der Webseite zu platzieren, anstatt der vermeintliche Interessen der Nutzer. Denn letztendlich bis das Tracking gelernt hat, dass ich mir einen neues Sofa kaufen will und mir dann einige Zeit Werbung für Sofas präsentiert, habe ich das Sofa schon längst gekauft, und die Werbung ist wirkungslos verpufft. Weder ich noch die Sofa-Verkäufer haben etwas davon. Wenn die Sofa-Werbung aber auf den Seiten geschaltet würde, auf denen ich mich über Sofas informiere, hätte die Werbung tatsächlich eine Wirkung und wäre nicht verschwendet und würde komplett ohne Tracking auskommen, denn die Sofa-Interessierten kommen ja freiwillig genau dorthin, wo sie Infos über Sofas finden und so auch passende Werbung.
Dann schreit wieder jemand was von freiem Markt, free speech und einer Verbotspartei
Mit AdGuard pro und der AdGuard DNS Einstellung geht das blocken ebenfalls oder man setzt zuhause einen pihole auf und ist über VPN verbunden
Ich hab es mit WireGuard, meiner FritzBox und einem Pi geregelt. Allerdings saugt mir das unterwegs extrem schnell den Akku leer. Ich schalte es also nur ein, wenn ich Safari nutze.
Komisch, immer dieser Aufschrei, wenn HACKER an diese Daten kommen. Viel zu wenig wird dagegen unternommen, und sich aufgeregt, dass diese Analytics-Firmen permanent die Daten abgreifen. Dann eher noch (wie auch hier so oft): „Ich hab nix zu verbergen“
So ist es. JEDER der Meta Apps nutzt (aber auch andere) gibt das alles raus und noch viel mehr, wie das gesamte Adressbuch.
Nein.
Meta-Apps tracken zwar viel und nutzen viele Tricks um auch Daten abzugreifen, die nicht direkt zugänglich sind, aber an alles kommen die dennoch nicht ran, wenn der Nutzer nicht mitspielt. Und das Adressbuch muss der Nutzer höchst persönlich erst freigeben, denn sonst bleibt das verschlossen. Und hier spielen die meisten Nutzer dann tatsächlich aus Bequemlichkeit mit.
Meta haben wir es u.A. auch zu verdanken, dass viele Daten auf der iOS-Platform heute besser geschützt sind. Denn die Facebook-App hatte früher geprüft welche anderen Apps auf dem Gerät installiert sind (geht die gar nichts an), hat nutzeraktivitäten überwacht, auch wenn die App gar nicht aktiv war (über Audio-Dateien die Stille abspielen konnten die Facebook-App auch im Hintergrund aktiv bleiben) etc. Das hat dann Apple alles eingeschränkt so dass sowas nicht mehr passiert. Leider hat sich Apple nicht getraut, Meta/Facebook aus dem Developer-Programm rauszuwerfen, wie es vermutlich jedem normalen „kleinen“ Entwickler ergangen wäre, hätte der das selbe gemacht…
Wäre schön, wenn Ihr liebes iFun-Team für die nicht so ganz firmen User eine Anleitung erstellt, wie man dieses App-Tracking bzw. noch weitere Datenschutzoptionen aktiviert. Ich gehe meine Datenschutzeinstellungen von Zeit zu Zeit durch und schaue, ob nach einem Update einige Punkte wieder aktiviert wurden. Da dies aber vermutlich kaum ein User (der nicht so Technikaffin ist) macht, wäre eine Anleitung von euch sinnvoll.
+1
Absolut richtig! Hier ist das Stichwort Aufklärung plus Anleitung zur Sepbsthilfe
Ich habe gestern ein Brief von der Deutschen Postcodelotterie bekommen. Ich habe nie in dieser Richtung meine Daten preisgegeben. Ganz im klein Gedruckten steht was drin das laut Paragraf xy die Firma deine Daten erwerben darf. Na nu???? Datenschutz- egal??????
Firmen dürfen zum Beispiel vom Einwohnermeldeamt daten abrufen. Deutsche Behörden aber nicht. Vllt haben sie deine Daten von dort
Anders herum wird m.E. eher ein Schuh draus.
Völlig unabhängig von diesem Datenleck wird das Tracking generell ALLEN Apps verboten. Mit welchem Recht sammeln hunderte Firmen meine Bewegungsprofile etc? Was zu blocken geht, wird geblockt, was abgelehnt werden kann wird abgelehnt. Leider ist auch das nur ein Tropfen auf den heißen Stein.
„Platz 1: Wetter Online. 360.977 der Datensets beziehen sich einer Auswertung von „Wired“ zufolge auf die deutsche App.“
Apps überschaubar halten!
Aus welchem Grund sollte es sonst irgendwelche Wetter-Apps geben? Standort wird doch praktisch generell freigegeben. Perfekt!
Zu dem Thema passt, dass Apple klammheimlich einen neuen Location Tracker namens „In-App-Browsing“ unter „Ordnungsdienste“ -> „Systemdienste“ eingeführt hat und dieser (natürlich) standardmäßig aktiviert ist.
Haben doch schon alle Daten was ist da NEU!!!! Wird doch alles dagegen getan nur wo?
Die wichtigste Info fehlt. Welche Apps haben dahin geliefert?