Datenleck Fitness-App entblösst israelische Soldaten und Agenten

Die Fitness-App Strava wurde genutzt, um knapp 100 israelische Soldat*innen und Agent*innen zu identifizieren.

Fitness-Apps sind beliebt wie nie. Wie auch sonst kann man dokumentieren und mit der Welt teilen, dass man jeden Tag fleissig Sport treibt? Zu den populärsten Apps zählt Strava, mit der man unter anderem Velo-Touren und Lauftrainings tracken kann.

Dass Fitness-Apps auch ein Datenschutzrisiko sein können, ist seit Längerem bekannt. Bereits 2018 wurden durch Strava die Standorte von geheimen US-Basen in Syrien und dem Irak enthüllt. Deshalb bietet Strava auch die Option an, die eigenen Trainings privat zu halten, sodass sie von anderen nicht verfolgt werden können.

Ein anderes Feature namens «Segment» bot da allerdings ein Schlupfloch, wie die israelische Tageszeitung «Haaretz» unter Berufung auf die Forschungsgruppe «Fake Reporter» berichtet.

SicherheitKarte von Fitness-App offenbart Aktivität auf Militärstützpunkten

Fiktive Trainings waren Einfallstor

Mit «Segment» kann man sehen, welche anderen Strava-Nutzer*innen die gleiche Strecke ablaufen und dabei die Zeiten vergleichen. Gedacht ist die Funktion etwa dafür, dass man beim allmorgendlichen Lauf durch den Stadtpark durch die Leistungen von anderen motiviert wird.

Ein Strava-Nutzer mit dem Namen «Ez Shl» und vermeintlichem Wohnort in Boston lud nun offensichtlich fiktive Lauf-Trainings in der App hoch. Die Fake-Trainings fanden an bekannten Standorten des israelischen Militärs und Geheimdienstes statt und «Ez Shl» konnte dank der «Segment»-Funktion nun sehen, wer dort trainiert und etwa Namen und Profilfoto abgreifen.

Da es sich jeweils um abgesperrte Bereiche handelte, zu denen Zivilisten keinen Zugang haben, liess sich herleiten, dass dies Mitglieder der Sicherheitsbehörden sein müssen. «Fake Reporter» schätzt, dass so die Identitäten von knapp 100 Menschen enthüllt werden konnten.

Wenig Technik-Kentnisse nötig

Die Masche war kinderleicht. GPS-Daten auf Smartphones lassen sich leicht fälschen, sodass man überall auf der Welt ein Training vortäuschen kann. Ausserdem wurden die an Strava übermittelten Daten nicht mal auf Plausibilität überprüft, bei manchen Trainings «lief» der Nutzer mit 100 km/h durch die Gegend. Die fiktiven Trainings fanden unter anderem an zwei Luftwaffenstützpunkten, zwei Basen den Militärgeheimdienstes und am Hauptquartier des Auslandsgeheimdienst Mossad statt.

Strava sagte «Haaretz», man habe den Nutzer gesperrt und weitere Massnahmen ergriffen. Das israelische Militär will seinerseits nun «Sonderprozeduren» für in sensiblen Bereichen arbeitendes Personal einführen.

HimmelsschreiberGPS-Daten lassen Kunstwerke am Himmel entstehen