{"id":297354,"date":"2024-07-14T23:25:55","date_gmt":"2024-07-14T21:25:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297354"},"modified":"2024-07-15T13:24:14","modified_gmt":"2024-07-15T11:24:14","slug":"daten-und-benutzertracking-bei-telekom-per-api","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/14\/daten-und-benutzertracking-bei-telekom-per-api\/","title":{"rendered":"Daten- und Benutzertracking bei Telekom per API?"},"content":{"rendered":"

\"Stop[English<\/a>]Unsch\u00f6ne Geschichte: Die Deutsche Telekom scheint die \u00dcbersicht \u00fcber ihre APIs etwas verloren zu haben. Lilith Wittmann hat eine Webseite online gestellt, mit der sich Daten von Festnetz-Anschl\u00fcssen der Telekom abfragen lassen. Die IP-Adresse reicht, und mit den ermittelten Daten lassen sich Anschlussinhaber der Telekom im Internet dauerhaft tracken. D\u00fcrfte eine veritable Datenpanne sein, die die Deutsche Telekom trifft \u2013 und es k\u00f6nnte DSGVO-relevant sein. Mal sehen, wie viel Staub die Sache aufwirbelt. Hier ein schneller Abriss, was Sache ist. Erg\u00e4nzung:<\/strong> Das \"Projekt\" von Lilith Wittmann wurde von der Deutsche Telekom AG \u00fcbernommen (buyout).<\/p>\n

<\/p>\n

Telekom API zur Datenabfrage<\/h2>\n

\"\"Zun\u00e4chst einige Vorbemerkungen zur Einordnung des Ganzen. Wer einen Telekom-Festnetzanschluss (mit Internet) oder einen Mobilfunkvertrag besitzt, dessen Daten werden nat\u00fcrlich vom Anbieter erfasst (ist bei anderen Providern auch so). Ich bin davon ausgegangen, dass dabei dann ein Nutzertracking passiert \u2013 die IP-Adresse wird ja eh f\u00fcr eine gewissen Zeit protokolliert.<\/p>\n

Und ich gehe davon aus, dass das Online-Verhalten von Nutzern von diesen Providern ausgewertet und zu Geld gemacht wird oder werden soll. Denn die Provider wissen, welche Websites die Nutzer besuchen und welche anderen Dienste diese nutzen. Im Bereich Mobilfunk ist bekannt, dass einige Daten von der Telekom \u00fcber die Utiq an Werbetreibende verkauft werden (sollen).<\/p>\n

Die Utiq<\/a> SA\/NV (Utiq) ist ein europ\u00e4isches AdTech-Unternehmen. Gest\u00fctzt von mehreren Telekommunikations-Netzbetreibern, betreibt Utiq einen so genannten Authentic Consent Service (Utiq Service) f\u00fcr verantwortungsvolles digitales Marketing.<\/p><\/blockquote>\n

Im Mai 2024 wurde von der Presse der Hintergrund beleuchtet \u2013 netzpolitik.org zeigt in diesem Artikel<\/a>, wie die gro\u00dfen Telekommunikationsanbieter O2, Telekom und Vodafone das Online-Verhalten von Millionen Mobilfunknutzern auswerten und der Werbeindustrie anbieten wollen. Der Verein D64 kl\u00e4rt in einem PDF-Dokument<\/a> \u00fcber die neue Tracking-Methode auf. Mike Kuketz erkl\u00e4rt in diesem Artikel<\/a>, wie man Utiq-Tracking deaktivieren\/verhindern kann.<\/p>\n

Nun ist publik geworden, dass es von der Deutsche Telekom wohl APIs gibt, \u00fcber die Firmen oder Beh\u00f6rden extern Daten zu Festnetz-Anschl\u00fcssen von Telekom-Kunden abrufen k\u00f6nnen. Ich vermute, dass da auch eine gewissen Monetarisierung geplant sein d\u00fcrfte. Lilith Wittmann schreibt dazu: \"Ja ich dachte, wenn die ein Daten-Startup haben, kann ich das auch.\"<\/p>\n

Es war einmal: Wittmanns Festnetz-Tool<\/h2>\n

Denn Lilith Wittmann hat festgestellt, dass man bei Telekom-Festnetzanschl\u00fcssen mittels der IP-Adresse, einige Daten zum-Anschluss abrufen kann. Es scheint keine Autorisierung f\u00fcr diese Abfragen zu geben, jeder kann auf diese Daten zugreifen, es wird lediglich eine IP-Adresse gebraucht. Am Ende das Tages ist es m\u00f6glich, eine Menge Informationen \u00fcber den Anschlussinhaber herauszufinden, indem man Daten von staatlichen sowie privatwirtschaftlichen Akteuren (aka Telekom-API) abfragt. Wittmann hat dazu die Webseite festnetz.cool<\/em> online gestellt, wie sie in nachfolgendem Tweet schreibt.<\/p>\n

\"Wittmanns<\/a><\/p>\n

Momentan werden nur Telekom-Festnetzanschl\u00fcsse f\u00fcr HOME und Small Business Kunden unterst\u00fctzt. Wenn ich die betreffende Webseite bei mir aufrufe, werden daher keine Informationen angezeigt (ich bin bei 1&1, die als Reseller des Telekom-Anschlusses auftreten – falls wer einen Screenshot hat, wie es bei der Telekom ausschaut – ggf. anonymisiert an mich schicken).<\/p>\n

\"Keine<\/a><\/p>\n

Wittmann beweist mit den formulierten Texten im linken und rechten unteren Frame sowie mit der Wahl der URL festnetz.cool<\/em> Humor.<\/p>\n

Wer es etwas detaillierter mag, schaut unter https:\/\/api.festnetz[.]cool\/docs#\/ nach, was an curl-Befehlen so abgesetzt wird, um die Daten auszulesen.<\/p><\/blockquote>\n

Festnetz-Kunde transparent?<\/h2>\n

Zur\u00fcck zum Thema \u2013 wird das Ganze mit einem Internetanschluss aufgerufen, der zu einem Festnetz-Anschluss der Telekom geh\u00f6rt, lassen sich \u00fcber die zugeordnete IP eine Reihe Daten abrufen. Nachfolgend zeigt Wittmann einige Daten eines solchen Anschlusses.<\/p>\n

<\/a><\/p>\n

Neben der IP-Adresse, die man auch \u00fcber andere Webseiten ermitteln kann, listet die Webseite einige Details zum Anschluss (Tarif, Up- und Download-Geschwindigkeit, die Tarifnummer etc.) auf. Ins Auge springt dabei der Parameter Permanent ID<\/em>, eine Kennung, die dem Anschluss fest zugeordnet ist. Damit l\u00e4sst sich der Anschlussinhaber einerseits \u00fcber die \u00fcbermittelte IP-Adresse anhand der Permanent ID tracken.<\/p>\n

Erg\u00e4nzung: Es scheint bei diversen Nutzern aber Abweichungen bei den Abfrageergebnissen zu geben. Ein Leser hat mir nun die Ergebnisse seiner Abfrage zukommen lassen (danke daf\u00fcr). Man siehe die IP-Adresse, die Vorwahl des Telefonanschlusses sowie die Permanent ID. Details zum Anschluss werden nicht angezeigt – das haben mehrere Nutzer berichtet. Woran es scheitert, ist aktuell unklar.<\/p>\n

\"Nutzerdaten<\/p><\/blockquote>\n

D\u00fcrfte ein DSGVO-Problem sein<\/h2>\n

Wenn ich es richtig verstanden habe, reicht die IP-Adresse des Internet-Surfers, um \u00fcber die API Details \u00fcber seinen Telekom Festnetz-Anschluss (samt Internetzugang) abzurufen. Und man kann die Informationen mit anderen Datenquellen kombinieren, so dass man die Quelle recht detailliert (bis auf H\u00e4userblocks) herunter gebrochen, identifizieren kann. Wertet man die Permanent ID<\/em> aus, l\u00e4sst sich der Nutzer im Internet tracken und ggf. \u00fcber seine weiteren Daten identifizieren.<\/p>\n

Anwalt Jun fragte<\/a> Wittmann in diesem Kontext \"Welche personenbezogenen Daten k\u00f6nnen damit noch ermittelt werden?\" Wittmann schreibt<\/a> dazu: \"Wenn man die Daten, auf die ich Zugriff habe, weiter lustig mit anderen Daten verkn\u00fcpft, kann man Leute auf H\u00e4userblockebene lokalisieren.\"<\/p>\n

\"Anwalt<\/a><\/p>\n

Anwalt Jun wirft in obigem Post<\/a> eine Reihe Fragen rund um die DSGVO auf. Ich bin kein Jurist und Details, was die Telekom API-Abfrage her gibt, fehlen mir auch. Ein herunterbrechen auf H\u00e4userebene scheint mir noch kein DSGVO-Vorfall mit Zwang zur Meldung nach Artikel 33 DSGVO zu sein. Aber das m\u00fcssen die Hausjuristen der Telekom bewerten \u2013 eine massive Datenpanne ist es auf jeden Fall.<\/p>\n

Denn der jetzt aufgedeckte Sachverhalt erm\u00f6glicht auch einen Blick hinter die Kulissen. Denn ich gehe davon aus, dass Strafverfolger und Geheimdienste diese und weitere Daten ebenfalls abfragen k\u00f6nnen. Und wenn ich es richtig interpretiere, auch jede interessierte Drittstelle. Es deutet sich zudem an, dass es bei der Telekom einige APIs zur Abfrage von Daten gibt, die intern verwendet werden und m\u00f6glicherweise nicht gegen Zugriff durch Dritte abgesichert sind. Danke an die Blog-Leser, die mich per Mail auf die obigen Tweets hingewiesen haben.<\/p>\n

Neueste Entwicklung<\/h2>\n

Die Telekom hat festnetz.cool<\/em> \"\u00fcbernommen\". Wittmann hat die Details zum Sachverhalt, der sich hinter obigem Fall verbirgt, jetzt auf Medium unter festnetz.cool got acquired by X-Forward-For-Ventures der Deutschen Telekom AG<\/a> dokumentiert. Schon ganz interessant zu lesen.<\/p>\n

\"festnet.cool<\/p>\n

Und zur \u00dcbernahme von festnetz.cool: War wohl ein erfolgreicher \"Exit\", Gratulation an Wittmann. Wenn Du mitbekommst, dass Google zur Zeit die \u00dcbernahme von Wiz<\/a> verhandelt und 23 Milliarden US-Dollar bietet, wird dir ganz schwindelig.<\/p>\n

Aber wenn die oben genannten Zahlen stimmen, hat Wittmann \"Rabatt\" gew\u00e4hrt. Ist bei Wittman nat\u00fcrlich Sarkasmus dabei – der Rabatt betrug 100%.<\/p>\n

\"Peter<\/a><\/p>\n

Hey, ich habe in den vielen Tweets der Nacht Peter Zwegat am Flipboard gesehen<\/a> – da m\u00fcssen wir noch dran arbeiten, damit die Einnahmen und die Ausgaben \"in Balance\" bleiben. Das Bug Bounty-Programm<\/a> der Telekom d\u00fcrfte in obigem Fall nicht mehr greifen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Unsch\u00f6ne Geschichte: Die Deutsche Telekom scheint die \u00dcbersicht \u00fcber ihre APIs etwas verloren zu haben. Lilith Wittmann hat eine Webseite online gestellt, mit der sich Daten von Festnetz-Anschl\u00fcssen der Telekom abfragen lassen. Die IP-Adresse reicht, und mit den ermittelten Daten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[7905,4328],"class_list":["post-297354","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenpanne","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297354","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=297354"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297354\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=297354"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=297354"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=297354"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}