Datenpanne bei Kid Security: Standorte und Chats von Kindern offen im Netz
Sensible Daten der Kinderschutz-App Kid Security haben angeblich mehr als ein Jahr lang frei zugänglich im Netz gestanden. Einem Bericht von Cybernews(öffnet im neuen Fenster) zufolge wurden durch das am 7. Februar entdeckte Datenleck nicht nur Standortinformationen von mit der App überwachten Kindern offengelegt, sondern auch deren private Chatverläufe, IP-Adressen, IMEI-Nummern und Audioaufnahmen von der Umgebung der Minderjährigen.
Grund für die Datenpanne war demnach eine fehlende Authentifizierung für ein Kafka-Broker-Cluster des App-Anbieters. Dadurch waren beispielsweise private Nachrichten von Minderjährigen, die über soziale Plattformen wie Instagram, Whatsapp, Telegram, Viber und Vkontakte ausgetauscht wurden, für jedermann zugänglich.
Neben den bereits genannten Daten waren aber laut Cybernews auch E-Mail-Adressen von Eltern sowie Listen der auf den Smartphones ihrer Kinder installierten Apps inklusive zugehöriger Nutzungsstatistiken abrufbar – ebenso wie Informationen über Belohnungen, die Kinder für die Erledigung von Aufgaben wie Hausarbeiten oder die Teilnahme an sportlichen Aktivitäten erhalten hatten.
Kinderschutz-App erlaubt weitreichende Überwachung
Kid Security wird von einem Unternehmen aus Kasachstan entwickelt, ist aber auch in deutscher Sprache verfügbar und weist im Google Play Store(öffnet im neuen Fenster) mehr als eine Million Downloads auf. Die Anwendung wird dort unter der Bezeichnung "Umfassende Kindersicherung App" angeboten, im Apple App Store(öffnet im neuen Fenster) trägt sie den Namen "Kid Security: Kindersicherung" .
Der Anbieter bewirbt Kid Security auf seiner Webseite(öffnet im neuen Fenster) als "die Nr. 1 der Kinderschutz-Apps, die auch Kinder lieben" , und verspricht Eltern, ihre Kinder darüber jederzeit orten und ihre Umgebung abhören zu können. Darüber hinaus ermögliche es die App, "die Spielzeit zu beschränken, die das Kind durch das Erledigen nützlicher Aufgaben verlängern kann" sowie das Handy des Kindes jederzeit ein lautes Signal ausgeben zu lassen, selbst wenn sich das Gerät im Lautlos-Modus befindet.
Eine Datenpanne mit massivem Gefahrenpotenzial
Die Möglichkeit, Kinder in diesem Ausmaß zu überwachen, ist im Hinblick auf das Recht auf informationelle Selbstbestimmung ohnehin höchst umstritten. Dass die zugehörigen Daten über einen Zeitraum von mehr als einem Jahr frei zugänglich waren, setzt Betroffene obendrein einer großen Gefahr aus. Böswillige Akteure hätten das Verhalten von Minderjährigen damit gezielt analysieren sowie Kinder orten und entführen können.
Laut Cybernews wurde der Zugriff auf das anfällige Kafka-Broker-Cluster von Kid Security gesichert, nachdem die Entdecker das Unternehmen auf das Datenleck aufmerksam gemacht hatten. Betroffen waren den Angaben zufolge Nutzer aus verschiedenen Regionen der Welt, überwiegend aber solche aus Russland, Osteuropa und dem Nahen Osten. Ob die offengelegten Daten tatsächlich von Angreifern missbraucht wurden, ist unklar.