Anonyme geheim eiternde App Whisper ließ sensible Profildaten jahrelang offen
Illustration von Alex Castro / The Verge
Whisper, eine anonyme mobile Geheim-Sharing-App, die vor mehr als einem halben Jahrzehnt bekannt wurde, setzt laut einem neuen Bericht der Washington Postseit Jahren unbeabsichtigt sensible Informationen über ihre Nutzer über eine öffentliche Online-Datenbank frei.
Die App ist zwar weit davon entfernt, so beliebt wie in den wenigen Jahren nach ihrer Veröffentlichung im Jahr 2012, wird immer noch von mehr als 30 Millionen Menschen pro Monat verwendet, von denen einige unter 18 Jahre alt sind und Geständnisse über sexuelle Begegnungen im Teenageralter und Informationen im Zusammenhang mit sexueller Orientierung teilen. Laut The Post, die aktiv in der Lage war, die Datenbank in Echtzeit abzufragen, bevor Whisper sie herunterzog, ergab eine Suche nach Benutzern, die sich selbst als 15-Jährige auflisteten, bis zu 1,3 Millionen Ergebnisse.
Die Datenbank enthielt keine echten Namen, da Whisper entworfen wurde, um die Identitäten der Benutzer zu schützen und es ihnen zu ermöglichen, Geheimnisse anonym zu teilen. Aber die Datensätze, die ungeschützt online gelassen wurden, enthielten Informationen wie Alter, Ort, ethnische Zugehörigkeit, Wohnsitz, In-App-Pseudonym und Mitgliedschaft in einer der App-Gruppen.
Die Datensätze enthielten auch nicht nur aktuelle Benutzer. Laut den Sicherheitsforschern Matthew Porter und Dan Ehrlich, die die Firma Twelve Security leiten, umfasste die Datenbank fast 900 Millionen Benutzerdatensätze von der Veröffentlichung der App mehr als acht Jahre bis heute, berichtet The Post. Porter und Ehrlich sagten, dass sie die Bundespolizei über die Situation informierten, sowie Whisper, bevor sie sich an die Washington Postwendeten. Erst als The Post sich an die Whisper-Muttergesellschaft MediaLab wandte, wurde die Datenbank privat gestellt.
“Dies hat sehr stark gegen die gesellschaftlichen und ethischen Normen verstoßen, die wir rund um den Schutz von Kindern im Internet haben”, sagte Ehrlich der “Post”und fügte hinzu, dass das Vorgehen von MediaLab hier “grob fahrlässig” gewesen sei.
MediaLab widerspricht den Ergebnissen der Forscher und sagt, dass die Informationen für die Öffentlichkeit gedacht waren und von den Nutzern selbst als Feature der App zur Verfügung gestellt wurden. Insbesondere wurde die Standortfreigabe entwickelt, um Beiträgen, in denen der Standort oder Status einer Person, wie z. B. ein aktives Militärmitglied, relevant war, Authentizität zu verleihen.
MediaLab teilte The Post jedoch mit, dass die Datenbank “nicht direkt abgefragt werden konnte”, und entfernte die Informationen daraufhin. Das Unternehmen hat sich auch in der Vergangenheit in heißem Wasser über den Umgang mit Benutzerdaten gefunden, wie im Jahr 2014, als bekannt wurde, dass das Unternehmen Standortdaten über Nutzer ohne ihre Zustimmung sammelt und auch wenn sie sich ausdrücklich abgemeldet haben. Die Post sagt, dass die exponierte Datenbank zeigt, dass MediaLab immer wieder Benutzerstandortdaten sammelt, auch nachdem die Kontroverse platzte.
Keywords: afds, afdsafds
