Die für die Erteilung von Patenten und Marken zuständige Bundesbehörde hat bestätigt, dass sie bei einem jahrelangen Datenleck unbeabsichtigt die Privatadressen von etwa 61.000 Anmeldern preisgegeben hat.
Das US-Patent- und Markenamt (USPTO) teilte in einer Mitteilung an betroffene Markenanmelder mit, dass ihre private Wohnadresse – häufig ihre Privatadresse – zwischen Februar 2020 und März 2023 versehentlich in öffentlichen Aufzeichnungen aufgetaucht sei.
Nach US-amerikanischem Recht müssen Antragsteller ihre Privatadresse angeben, wenn sie eine Markenanmeldung einreichen, um betrügerische Markenanmeldungen zu verhindern.
USPTO sagte, das Problem sei in einer seiner APIs entdeckt worden, die den Zugriff auf Apps ermöglicht, die sowohl von Mitarbeitern der Agentur als auch von Antragstellern verwendet werden ein System zur Statusüberprüfung von angemeldeten und eingetragenen Marken. (Eine API ermöglicht es zwei Dingen im Internet, beispielsweise einer App und einem Server, miteinander zu kommunizieren.)
USPTO sagte, dass die Adressdaten auch in Massendatensätzen auftauchten, die das Agentur veröffentlicht online zur Unterstützung der akademischen und wirtschaftlichen Forschung.
„Als wir das Problem entdeckten, blockierten wir den Zugriff auf alle nicht kritischen APIs des USPTO und entfernten die betroffenen Massendatenprodukte, bis eine dauerhafte Lösung implementiert werden konnte“, heißt es in der Mitteilung, die Tech von einem betroffenen Antragsteller erhalten hat.
Als er um einen Kommentar gebeten wurde, lieferte USPTO-Sprecher Paul Fucito weitere Einzelheiten zu dem Problem: „Wie in unserer Mitteilung an betroffene Anmelder angegeben, sind nach dem Markenrecht zwar Wohnsitzadressen erforderlich, haben wir im Jahr 2020 im Rahmen unseres freiwilligen Schritts unternommen, diese Informationen zu verbergen.“ Bemühungen, die Daten zu sichern, auf die die Öffentlichkeit direkt und häufig zugreift.“
„Bedauerlicherweise ist es uns nicht gelungen, einige der eher technischen Ausstiegspunkte zu lokalisieren und die von diesen Punkten exportierten Daten nicht ordnungsgemäß zu maskieren. Wir entschuldigen uns für unseren Fehler und werden alles tun, um zu verhindern, dass sich ein solcher Vorfall wiederholt, und gleichzeitig unsere Fähigkeit bewahren, gegen das historische Ausmaß an Anmeldebetrug vorzugehen, das aus Übersee stammt“, fügte der Sprecher hinzu.
Nach Angaben des USPTO betraf das Datenleck etwa 3 % der Gesamtzahl der im Dreijahreszeitraum eingereichten Anträge.
USPTO sagte, der Vorfall sei am 1. April gelöst worden, als Wohnadressen maskiert und API-Schwachstellen behoben wurden.
In der Mitteilung hieß es, die Behörde habe keinen Grund zu der Annahme, dass die Daten missbraucht worden seien.