{"id":198193,"date":"2017-12-01T01:03:13","date_gmt":"2017-12-01T00:03:13","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=198193"},"modified":"2024-07-21T08:42:42","modified_gmt":"2024-07-21T06:42:42","slug":"obike-nutzerdaten-per-social-media-abrufbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/12\/01\/obike-nutzerdaten-per-social-media-abrufbar\/","title":{"rendered":"oBike-Nutzerdaten per Social Media abrufbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"http:\/\/borncity.com\/win\/2017\/12\/01\/leak-obike-exposes-user-data-to-social-media\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Nice: Die Namen, E-Mail-Adressen und das Bewegungsprofil von Kunden des auch in Deutschland aktiven, chinesischen Leihfahrrad-Anbieters oBike fanden sich ungesch\u00fctzt im Internet. Hier ein paar Informationen. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/8d351e7a91fe48ccb4f3274546236e6d\" width=\"1\" height=\"1\"\/>Es ist immer wieder sch\u00f6n, zu sehen, wie einem Themen erneut auf die F\u00fc\u00dfe fallen. Am 19. November 2019 hatte ich hier im Blog den Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/11\/19\/stopp-leihfahrrder-als-datenkrake\/\">Stopp: Leihfahrr\u00e4der als Datenkrake<\/a>, der sich mit dem Problem dieser Angebote und einigen Hintergr\u00fcnden befasst. <\/p>\n<p><img decoding=\"async\" title=\"oBike\" alt=\"oBike\" src=\"https:\/\/i.imgur.com\/BF0X1px.jpg\"\/><br \/>(Quelle: Marco Verch \/ Flickr \/ <a href=\"https:\/\/creativecommons.org\/licenses\/by\/2.0\/\" target=\"_blank\" rel=\"noopener\">CC BY 2.0<\/a> )<\/p>\n<p>In M\u00fcnchen, Frankfurt oder Berlin werden die Leihfahrr\u00e4der des Anbieters oBike zum Problem, weil sie in Parks, auf Gehwegen oder an anderen \u00f6ffentlichen Pl\u00e4tzen die Wege versperren. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"de\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Obike?src=hash&amp;ref_src=twsrc%5Etfw\">#Obike<\/a> &#8211; Stapel am Englischen Garten in <a href=\"https:\/\/twitter.com\/hashtag\/Muenchen?src=hash&amp;ref_src=twsrc%5Etfw\">#Muenchen<\/a>. Leihrad\u00fcberversorgung in der <a href=\"https:\/\/twitter.com\/hashtag\/Radlhauptstadt?src=hash&amp;ref_src=twsrc%5Etfw\">#Radlhauptstadt<\/a>? <a href=\"https:\/\/t.co\/hbMTMB7vo9\">pic.twitter.com\/hbMTMB7vo9<\/a><\/p>\n<p>\u2014 Anton Rauch (@AntonRauch) <a href=\"https:\/\/twitter.com\/AntonRauch\/status\/905775322154627073?ref_src=twsrc%5Etfw\">7. September 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Andernorts hat die Polizei bereits tausende dieser R\u00e4der beschlagnahmt und dann verschrotten lassen. Auch scheinen die R\u00e4der schnell zum Schrott zu mutieren, da die Qualit\u00e4t zu w\u00fcnschen \u00fcbrig l\u00e4sst. <\/p>\n<h2>Warnung vor der Datenkrake<\/h2>\n<p>In meinem Beitrag hatte ich vor der Datenkrake Leihfahrrad gewarnt. Die Leihfahrr\u00e4der haben keine festen Stationen f\u00fcr Ausleihe und R\u00fcckgabe. Sie sind mit GPS ausgestattet und das Buchen erfolgt in der Regel per App, die auch das Rad entsperrt. Diese App zeichnet alles auf, was der Kunde so hergibt (Name, E-Mail-Adresse, GPS-Bewegungsdaten und auch die Nutzungszeit). Ich zitiere aus meinem Artikel: <\/p>\n<p><em>Der Radfahrer wird quasi gl\u00e4sern \u2013 was in China kein Thema sein d\u00fcrfte, wird in Deutschland zum Problem. Die S\u00fcddeutsche Zeitung zitiert <\/em><a href=\"http:\/\/www.sueddeutsche.de\/muenchen\/leihraeder-obikes-in-muenchen-imageschaden-im-eiltempo-1.3660176-2\" target=\"_blank\" rel=\"noopener\">hier<\/a><em><\/em><em> zwar den, seit ein paar Wochen angeheuerten oBike-Vertreter, dass der Datenschutz gew\u00e4hrleistet sei.<\/em>  <\/p>\n<blockquote>\n<p>Die Bewegungsprofile der Nutzer w\u00fcrden zwar aufgezeichnet und gespeichert, dies geschehe aber anonym. Und man habe nicht vor, die Daten weiterzugeben.<\/p>\n<\/blockquote>\n<p>Marketing-Schmonsens und wei\u00dfe Salbe, die Aussage des oBike-Vertreters. Der Stadt M\u00fcnchen wurden von einer oBike-Vertreterin Kundendaten angeboten. Aber das l\u00e4sst sich noch toppen.<\/p>\n<h2>oBike-Daten frei im Netz<\/h2>\n<p>Es geht seit Stunden durch die Medien: Ein Team des Bayrischen Rundfunks hat <a href=\"https:\/\/www.br.de\/nachrichten\/datenleck-obike-100.html\" target=\"_blank\" rel=\"noopener\">aufgedeckt<\/a>, dass die Nutzerdaten von oBike einfach \u00fcber soziale Netzwerke abrufbar waren. Zitat des BR:<\/p>\n<blockquote>\n<p>Namen aus Deutschland, Handynummern aus der Schweiz, E-Mailadressen aus Gro\u00dfbritannien, Profilfotos aus Malaysia. Journalisten von BR Data und BR Recherche konnten im Internet Nutzerdaten des Fahrradverleihs Obike einsehen. Die Daten waren weder verschl\u00fcsselt noch anderweitig gesch\u00fctzt, sogar exakte Bewegungsdaten von Fahrten mit den Leihr\u00e4dern lagen nach BR-Informationen mindestens zwei Wochen lang offen. Obike-Nutzer auf der ganzen Welt waren von diesem Datenleck betroffen.<\/p>\n<\/blockquote>\n<p>Hintergrund ist wohl, dass die Social Media-Funktion der oBike-App das Problem darstellte. Diese bietet den Nutzern Funktionen, um Einladungscodes und Fahrten in sozialen Netzwerken zu teilen. Damit die Facebook-Freunde auch mitbekommen, dass man oBike gefahren ist. <\/p>\n<p>Etwas doof: Die Nutzer erm\u00f6glichten unbemerkt Dritten den direkten Zugriff auf ihre pers\u00f6nlichen Daten bei oBike. Noch schlimmer: Selbst wenn ein Nutzer nichts in sozialen Netzwerken geteilt hatte, waren seine Daten einsehbar. Cyber-Kriminelle h\u00e4tten diese Daten kopieren und f\u00fcr eigene Zwecke verwenden k\u00f6nnen (m\u00f6glicherweise ist das bereits geschehen). Der BR hat oBbike mit dem Datenleck konfrontiert. Nat\u00fcrlich wurden die Sicherheitsl\u00fccken geschlossen. Und dann kommt das Statement von Obike, welches ich von der BR-Seite zitiere:<\/p>\n<blockquote>\n<p>\"Obike tut alles, um eventuelle Sicherheitsl\u00fccken schnell zu beheben und Nutzerdaten zu sch\u00fctzen.\"<\/p>\n<\/blockquote>\n<p>Inzwischen haben sich, laut BR, Datensch\u00fctzer aus Berlin eingeschaltet (dort ist der oBike-Firmensitz), da der Vorgang einen Versto\u00df gegen den Datenschutz darstellt. Laut Datensch\u00fctzer Thomas Kranig verst\u00f6\u00dft oBike auch gegen das Transparenzgebot, weil unklar ist, welche Nutzerdaten erfasst werden.&nbsp; <\/p>\n<p>Auch ist unklar, wer wirklich hinter der Firma oBike steht, die auch einem Firmengeflecht besteht, welches auf auf den Britischen Jungferninseln (Steuerparadies) seinen Sitz hat. Die Details lassen sich im BR-Textbeitrag <a href=\"https:\/\/www.br.de\/nachrichten\/datenleck-obike-100.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> nachlesen.<\/p>\n<h2>Gesch\u00e4ftsmodelle der China-Industrie am wackeln?<\/h2>\n<p>Interessant d\u00fcrften diese Gesch\u00e4ftsmodelle auch ab Sommer 2018 werden, wenn die Datenschutzgrundverordnung in Kraft ist. Dann werden deftige Geldbu\u00dfen bei Verst\u00f6\u00dfen f\u00e4llig. Ich sch\u00e4tze, dass die Handhabung von Nutzerdaten bei chinesischen Firmen samt \u00dcberwachung irgendwann deren Gesch\u00e4ftsmodellen das Genick bricht. Das Wallstreet Journal hat gerade <a href=\"https:\/\/www.wsj.com\/articles\/chinas-tech-giants-have-a-second-job-helping-the-government-see-everything-1512056284\" target=\"_blank\" rel=\"noopener\">diesen Artikel<\/a> ver\u00f6ffentlicht, der sich damit befasst, dass chinesische Techfirmen wie Alibaba &amp; Co. als willige Helfer der chinesischen Regierung fungieren und die eigenen Leute \u00fcberwachen. Da bleibt dann gerne mal eine Backdoor in der Firmware oder in Apps auf dem Weg in Richtung Westen zur\u00fcck. Ist ja nichts besonderes und in China gibt es keine Datenschutzkultur. Wenn man dann erwischt wird, hei\u00dft es 'sorry, war nicht so gemeint'. Realistischerweise d\u00fcrfte keine Firma mehr Produkte aus China einsetzen, da man sich \u00fcber diesen Weg die Spionagefunktionen ins Haus holt.&nbsp; <\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/11\/19\/stopp-leihfahrrder-als-datenkrake\/\">Stopp: Leihfahrr\u00e4der als Datenkrake<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/03\/03\/backdoor-in-china-hardware\/\">Backdoor in China-Hardware<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/11\/20\/backdoorrootkit-bei-3-millionen-china-handys-entdeckt\/\">Backdoor\/Rootkit bei 3 Millionen China-Handys entdeckt<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/11\/16\/backdoor-in-china-phones-telefoniert-nach-hause\/\">Backdoor in China-Phones \"telefoniert nach Hause\"<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2014\/12\/18\/android-backdoor-in-china-phones\/\">Android-Backdoor in China-Phones<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/06\/02\/china-adware-fireball-infiziert-250-millionen-systeme-weltweit\/\">China Adware Fireball infiziert 250 Millionen Systeme weltweit<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/04\/02\/chinesische-pup-kommt-mit-backdoor\/\">Chinesische PUP kommt mit Backdoor<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/01\/15\/was-kostet-ein-chinese-chinas-einwohner-sind-glsern\/\">Was kostet ein Chinese? Chinas Einwohner sind gl\u00e4sern<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/12\/15\/billige-china-kracher-mit-android-trojaner-inside\/\">Billige China-Kracher mit Android-Trojaner inside<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Nice: Die Namen, E-Mail-Adressen und das Bewegungsprofil von Kunden des auch in Deutschland aktiven, chinesischen Leihfahrrad-Anbieters oBike fanden sich ungesch\u00fctzt im Internet. Hier ein paar Informationen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451,4328],"class_list":["post-198193","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198193","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=198193"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198193\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=198193"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=198193"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=198193"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}