Tech hat erfahren, dass das GPS-Tracking-Unternehmen Hapn aufgrund eines Website-Fehlers die Namen Tausender seiner Kunden preisgibt.
Ein Sicherheitsforscher machte Tech Ende November darauf aufmerksam, dass Kundennamen und -zugehörigkeiten – beispielsweise der Name ihres Arbeitsplatzes – von einem der Hapn-Server verbreitet wurden, was Tech gesehen hatte.
Hapn, früher bekannt als Spytec, ist ein Ortungsunternehmen, das es Benutzern ermöglicht, den Standort internetfähiger Ortungsgeräte, die an Fahrzeugen oder anderen Geräten angebracht werden können, in Echtzeit aus der Ferne zu überwachen. Das Unternehmen auch verkauft GPS-Tracker unter seiner Marke Spytec an Verbraucherdie zur Nachverfolgung auf die Hapn-App angewiesen sind. Spytec wirbt mit seinen GPS-Geräten für die Ortung wertvoller Besitztümer und „lieber Menschen“. Laut seiner Website gibt Hapn an, mehr als 460.000 Geräte zu verfolgen und zählt Kunden zu den Fortune 500.
Der Fehler ermöglicht es jedem, sich mit einem Hapn-Konto anzumelden, um die offengelegten Daten mithilfe der Entwicklertools in seinem Webbrowser anzuzeigen.
Die offengelegten Daten enthalten Informationen zu mehr als 8.600 GPS-Trackern, einschließlich der IMEI-Nummern für die SIM-Karten in jedem Tracker, die jedes Gerät eindeutig identifizieren. Zu den offengelegten Daten gehören keine Standortdaten, aber Tausende von Datensätzen enthalten die Namen und Geschäftszugehörigkeiten von Kunden, die die GPS-Tracker besitzen oder von ihnen verfolgt werden.
Hapn hat auf mehrere E-Mails von Tech nicht geantwortet. Die Kundennamen bleiben zum Zeitpunkt des Schreibens offengelegt.
Mehrere E-Mails an Hapn-CEO Joe Besdin blieben unbeantwortet. Eine an eine in der Datenschutzrichtlinie des Unternehmens aufgeführte E-Mail-Adresse gesendete Nachricht wurde mit einem Bounce-Fehler zurückgegeben und besagte, dass die E-Mail-Adresse nicht existiert. Das Unternehmen verfügt weder über eine Webseite noch über ein Formular zur Meldung von Sicherheitslücken.
Als wir Personen kontaktierten, deren Namen und Zugehörigkeiten in den offengelegten Daten aufgeführt waren, bestätigten mehrere Personen ihre Namen und Arbeitsplätze, lehnten es jedoch ab, über die Verwendung des GPS-Trackers zu sprechen. Laut Tech waren bei einem Unternehmen, das auf der Website von Hapn als Firmenkunde aufgeführt ist, mehrere Tracker in den offengelegten Daten aufgeführt.
Der Sicherheitsforscher sagte, er habe mit der Untersuchung des GPS-Trackers begonnen, nachdem er herausgefunden hatte, dass Kunden Online-Bewertungen für die Geräte hinterlassen hatten, in denen der Tracker für die Überwachung des Ehepartners oder Partners einer Person empfohlen wurde. (Tech hat in den Online-Shops von Spytec Dutzende Bewertungen von Kunden gesehen, die behaupten, die GPS-Geräte zur Ortung ihrer Ehepartner verwendet zu haben.)
Die Liste der offengelegten Kundendatensätze zeigt auch Tausende von Trackern mit zugehörigen Namen, aber ohne erkennbare Zugehörigkeit. Es ist nicht bekannt, ob den Personen bewusst ist, dass sie verfolgt wurden.