Massives Datenleck: Bei Obike waren selbst Bewegungsprofile abrufbar
Bis vor kurzem kämpfte der Leihfahrrad-Anbieter Obike mit einem massiven Datenleck, meldet der Bayerische Rundfunk (BR). Demnach waren die persönlichen Nutzerdaten wie Handynummern, Telefonnummer oder Bewegungsdaten zumindest für zwei Wochen öffentlich abrufbar. Mittlerweile wurde die Lücke aber geschlossen.
Selbst Bewegungsprofile abrufbar
Betroffen waren Nutzer aus der ganzen Welt, also dementsprechend auch aus Deutschland. Obike ist Leihfahrrad-Anbieter aus Singapur, der seit dem Sommer in Deutschland aktiv ist. Öffentlich zugänglich waren laut dem BR Nutzerdaten wie die Telefonnummer, das Profilfoto sowie die E-Mail-Adresse, da Obike die Daten nicht verschlüsselte oder anderweitig schützte. Selbst Bewegungsprofile ließen sich einsehen, wie der BR in einem Video-Beitrag demonstriert.
Ausschlaggebend für das Problem war offenbar die Social-Media-Funktion in der App, damit lassen sich weitere Nutzer per Code einladen und Fahrten in den sozialen Netzwerken teilen. Im Hintergrund war dann ein Zugriff auf die persönlichen Daten möglich. Wie viele Nutzer letztlich von der Lücke betroffen waren, geht aus dem Bericht nicht hervor.
Mittlerweile soll es nicht mehr möglich sein, die Nutzerdaten öffentlich abzurufen. Auf Anfrage des BR erklärte ein Sprecher: „Obike tut alles, um eventuelle Sicherheitslücken schnell zu beheben und Nutzerdaten zu schützen.“
Datenschützer prüfen den Vorfall
Ausgestanden ist der Vorfall für Obike damit aber noch nicht. Das Bayerische Landesamt für Datenschutzaufsicht (LDA) geht davon aus, dass es sich um einen Datenschutzverstoß handelt, da die Vorgaben für Datensicherheit nicht eingehalten wurden. Zuständig ist aber der Datenschutzbeauftragte in Berlin, weil Obike dort den Sitz hat. Und dieser prüft nun, ob ein Kontrollverfahren eingeleitet wird.
Verbraucherschützer warnten bereits vor GPS-Datenerfassung
Neu sind die Datenschutzprobleme bei Obike nicht. Bereits Mitte November warnten Verbraucherschützer, dass GPS-Daten erfasst werden. Obike hatte allerdings auf Anfrage des BR erklärt, die Daten wären nötig, damit sich die Routen der Fahrräder nachvollziehen lassen. Einzelnen Nutzern könne Obike die Bewegungsdaten aber nicht zuordnen, da man sie „vollständig“ anonymisiere.