TechCrunch hat erfahren, dass das GPS-Tracking-Unternehmen Hapn aufgrund eines Website-Fehlers die Namen Tausender seiner Kunden preisgibt.
Ein Sicherheitsforscher machte TechCrunch Ende November darauf aufmerksam, dass Kundennamen und -zugehörigkeiten – wie beispielsweise der Name seines Arbeitsplatzes – von einem der Server von Hapn durchgesickert waren, was TechCrunch gesehen hatte.
Hapn, früher bekannt als Spytec, ist ein Ortungsunternehmen, das es Benutzern ermöglicht, den Standort internetfähiger Ortungsgeräte, die an Fahrzeugen oder anderen Geräten angebracht werden können, in Echtzeit aus der Ferne zu überwachen. Das Unternehmen auch verkauft GPS-Tracker unter seiner Marke Spytec an Verbraucherdie zur Nachverfolgung auf die Hapn-App angewiesen sind. Spytec wirbt mit seinen GPS-Geräten für die Ortung wertvoller Besitztümer und „lieber Menschen“. Laut seiner Website verfolgt Hapn nach eigenen Angaben mehr als 460.000 Geräte und zählt Fortune-500-Kunden.
Der Fehler ermöglicht es jedem, der sich mit einem Hapn-Konto anmeldet, offengelegte Daten mithilfe von Entwicklertools in seinem Browser anzuzeigen.
Die offengelegten Daten enthalten Informationen zu mehr als 8.600 GPS-Trackern, einschließlich der IMEI-Nummern der SIM-Karten in jedem Tracker, die jedes Gerät eindeutig identifizieren. Zu den offengelegten Daten gehören keine Standortdaten, aber Tausende von Datensätzen enthalten Namen und Geschäftszugehörigkeiten von Kunden, die GPS-Tracker besitzen oder von diesen verfolgt werden.
Hapn antwortete nicht auf mehrere E-Mails von TechCrunch. Kundennamen bleiben zum Zeitpunkt des Schreibens offengelegt.
Mehrere E-Mails an Hapn-CEO Joe Besdin wurden nicht zurückgesandt. Eine an eine in der Datenschutzrichtlinie des Unternehmens aufgeführte E-Mail-Adresse gesendete Nachricht wurde mit einem Bounce-Fehler zurückgegeben, der besagte, dass die E-Mail-Adresse nicht existiert. Das Unternehmen verfügt weder über eine Webseite noch über ein Formular zur Meldung von Sicherheitslücken.
Als wir Personen kontaktierten, deren Namen und Zugehörigkeiten in den offengelegten Daten aufgeführt waren, bestätigten mehrere Personen ihre Namen und Arbeitsplätze, lehnten es jedoch ab, über die Verwendung von GPS-Trackern zu sprechen. Laut TechCrunch waren bei einem Unternehmen, das auf der Website von Hapn als Firmenkunde aufgeführt ist, mehrere Tracker in den offengelegten Daten aufgeführt.
Der Sicherheitsforscher sagte, er habe mit der Untersuchung des GPS-Trackers begonnen, nachdem er herausgefunden habe, dass Kunden Online-Bewertungen zu den Geräten hinterlassen hätten und den Tracker für die Überwachung des Ehepartners oder Partners einer Person empfohlen hätten. (TechCrunch hat in den Online-Shops von Spytec Dutzende Bewertungen von Kunden gesehen, die angaben, GPS-Geräte zur Ortung ihrer Ehepartner verwendet zu haben.)
Die Liste der offengelegten Kundendatensätze zeigt auch Tausende von Trackern mit zugehörigen Namen, aber ohne andere erkennbare Zugehörigkeiten. Es ist nicht bekannt, ob den Personen bewusst ist, dass sie verfolgt wurden.
