AOK Bonus-App hatte Sicherheitslücke
Die AOK Bonus-App belohnt Mitglieder, die eine von drei Fitnessaktivitäten pro Tag nachweisen können. Gemessen wird mit Fitnesstracker, die Krankenkasse schreibt dann den Bonus gut. Bis zu 180 Euro zahlt die Kasse je Kunde jährlich an Boni.
So funktioniert die Datenübertragung
So funktioniert die Datenübertragung
Wie der mdr herausfand, landen die Gesundheitsdaten allerdings auf einem Server an der US-Ostküste, noch bevor sie an die Bonus-App gesendet werden. Ob die sensiblen Daten in Übersee für Werbung genutzt werden, bleibt offen. Fest steht: Personaliserte Daten sind ein Milliardengeschäft - und überaus interessant für Versicherungen, Banken und Arbeitgeber.
"Es gibt keine deutschen Schrittzähler, der an Google & Co. vorbeiführt", entgegnete die AOK lapidar, als sie mit diesem - für Kunden versteckten - Datentransfer konfrontiert wurde.
Eine weitere Sicherheitslücke entdeckte das mdr-Team im Test: Der IT-Experte konnte problemlos das AOK-Passwort auslesen, mit dem sich das Mitglied online im Portal einloggt.
Die AOK Plus reagierte nach Angaben des mdr umgehend auf den Fehler und veröffentlichte eine aktualisierte Version der Bonus-App. Die Sicherheitslücke sei damit behoben. „Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ,Schwachstelle’ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern“, teilte die AOK dem mdr mit.
Verifizieren konnte der mdr indes, dass zur Kasse nur die Bonus-Punkte übermittelt werden, keine Fitness- oder Vitaldaten. Hier hält die Krankenkasse also Wort. Allein in Sachsen und Thüringen nutzen rund 65.000 Versicherte die AOK Bonus-App.
USA: Hier gibt es die ersten Tarife mit Tracking-Pflicht
USA: Hier gibt es die ersten Tarife mit Tracking-Pflicht