Fitnesstracker: 61 Millionen Datensätze unverschlüsselt im Netz

Ein Team des Internetportals WebsitePlanet unter Leitung des Cybersicherheitsforschers Jeremiah Fowler hatte am 30. Juni die nicht passwortgeschützte und über das Internet erreichbare Datenbank gefunden, die mehr als 61 Millionen Datensätze von Benutzern auf der ganzen Welt enthielt.

Wie es in dem entsprechenden Bericht heißt, gehörte die Datenbank GetHealth, einem in New York City ansässigen Unternehmen, das eine einheitliche Speicherlösung für Gesundheitsdaten von Wearables und Apps anbietet.

Einen Tag, nachdem Fowler und sein Team GetHealth den Fund meldeten, erhielten sie die Nachricht, die Daten seien gesichert worden. Als besonders „beunruhigendes Detail” bewertete Fowler den Fakt, dass viele der Datensätze Vor- und Nachname, Benutzername, Geburtsdatum, Gewicht, Größe, Geschlecht, geografischen Standort und mehr enthielten.

Diese Informationen waren im Klartext gespeichert, heißt es in dem Bericht, während es eine ID gab, die verschlüsselt zu sein schien. Den Geostandorten enthielten Länder- und Stadtnamen und zeigten, dass sich die Nutzer des Datensatzes auf der ganzen Welt befanden.

In einer begrenzten Stichprobe von etwa 20.000 Datensätzen erschienen als „Quelle” mehr als 17.700-mal Apple- und mehr als 2.700-mal Geräte von Fitbit (gehört seit 2019 zu Google). Möglicherweise seien aber auch andere Apps oder Geräte betroffen, schreibt Fowler.

Denn laut der Website von GetHealth kann der Dienst auch Daten von vielen anderen Endgeräten synchronisieren, darunter 23andMe, Daily Mile, FatSecret, GoogleFit, Jawbone UP, Life Fitness, MapMyFitness, MapMyWalk, Microsoft, Misfit, Moves App, PredictBGL, Runkeeper, Sony Lifelog, Strava, VitaDock, Withings, Android Sensor und S Health.

Fowler sieht in Wearables zum jetzigen Zeitpunkt eine große Gefahr, da es keine einheitlichen Datenschutzstandards für sie gebe und das Potenzial für Unternehmen riesig sei, diese Daten für Werbung, Marketing oder den Austausch mit Dritten zu verwenden.

Fowler gibt ein Beispiel: Die US-amerikanische Behörde für Lebensmittel- und Arzneimittelsicherheit hat Fitbit als Software für den rezeptfreien Gebrauch und als Medizinprodukt der Klasse II eingestuft. Im September 2020 erhielt das Unternehmen die FDA-Zulassung und die CE-Kennzeichnung für seine Elektrokardiogrammfunktion zur Verfolgung von Herzrhythmusstörungen. Die Geräte von Fitbit sammeln seitdem Schätzungen zufolge Daten von 29 Millionen Nutzern weltweit – und Google behauptet, dass die Gesundheits- und Wellnessdaten der Fitbit-Nutzer nicht für Google-Anzeigen verwendet werden.

Wie groß der Unterschied zwischen Anspruch und Wirkung bei GetHealth war, zeigt ein Blick auf die Google-Webseite und in die FAQ. Dort heißt es, alle Daten der Benutzer würden und HIPAA-konform verschlüsselt übertragen, gespeichert und verwaltet. Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein US-Bundesgesetz, das sensible Gesundheitsinformationen von Patienten davor schützt, ohne Zustimmung oder Wissen des Patienten weitergegeben zu werden. Fowler betont jedoch: Es gibt derzeit keine klaren HIPAA-Vorschriften, die für tragbare Technologien gelten, solange die Daten für den persönlichen Gebrauch verwendet werden.