Sattel eines oBike-Rades in Hannover | Bildquelle: picture alliance / Hauke-Christi

Verleiher oBike Datenleck bei Fahrradfahrt

Stand: 30.11.2017 05:04 Uhr

München, Berlin, Frankfurt, Hannover - in immer mehr deutschen Städten bietet oBike Leihfahrräder an. Nun hat der BR ein Datenleck beim Anbieter der gelben Räder entdeckt. Persönliche Daten und Bewegungsdaten von Nutzern waren frei über das Internet zugänglich.

Von Robert Schöffel, Maximilian Zierer und Steffen Kühne, BR

Ob Namen aus Deutschland, Handynummern aus der Schweiz, E-Mail-Adressen aus Großbritannien oder Profilfotos aus Malaysia: Journalisten von BR Data und BR Recherche konnten im Internet zahlreiche Nutzerdaten des Fahrradverleihs oBike einsehen.

Die Daten waren weder verschlüsselt noch anderweitig geschützt, sogar exakte Bewegungsdaten von Fahrten mit den Leihrädern lagen offen. oBike-Nutzer auf der ganzen Welt waren von diesem Datenleck betroffen. Die Recherchen des BR zeigen, dass vor allem die Social-Media-Funktionen der Smartphone-App problematisch waren. Die App von oBike bietet Nutzern die Möglichkeit, Einladungs-Codes und Fahrten in den sozialen Netzwerken zu teilen. Damit ermöglichten sie den direkten Zugriff auf ihre persönlichen Daten, ohne es zu merken.

Der BR hat eine Testperson auf eine Fahrt mit dem Obike geschickt. Der genaue Streckenverlauf war danach im Netz frei einsehbar (Copyright: BR).
galerie

Der BR hat eine Testperson auf eine Fahrt mit dem Obike geschickt. Der genaue Streckenverlauf war danach im Netz frei einsehbar (Copyright: BR).

Nutzerdaten sind Gold wert

Kriminelle hätten durch diese Sicherheitslücke Kundendaten kopieren können - auch von Nutzern, die keine Informationen über soziale Netzwerke teilten. Nachdem der BR das Unternehmen mit dem Datenleck konfrontiert hatte, wurden die Sicherheitslücken geschlossen. Schriftlich teilt Obike mit: "oBike tut alles, um eventuelle Sicherheitslücken schnell zu beheben und Nutzerdaten zu schützen."

Am Schwarzmarkt sind Nutzerdaten wie die von Obike Gold wert. Mitte November machte ein Daten-Diebstahl beim US-Fahrdienstleister Uber Schlagzeilen. Der Konzern zahlte Hackern 100.000 Dollar, damit sie die gestohlenen E-Mail-Adressen und Telefonnummern von Kunden vernichten.

Verstoß gegen das Datenschutzgesetz

Auch wenn das Datenleck bei oBike mittlerweile behoben ist, könnte der fahrlässige Umgang mit den Nutzerdaten Folgen haben. Das Bayerische Landesamt für Datenschutzaufsicht (LDA) bestätigte dem BR, dass es sich bei dem Datenleck um einen Verstoß gegen das Datenschutzgesetz handle: "Die Firma oBike begeht nach unserer Auffassung einen datenschutzrechtlichen Verstoß, weil die Vorgaben der Datensicherheit nicht eingehalten sind", sagte LDA-Präsident Thomas Kranig.

Seinen deutschen Firmensitz hat oBike in Berlin. Die BR-Recherchen haben die Berliner Datenschutzbeauftragte alarmiert: "Zur Vorbereitung eines Kontrollverfahrens prüft die Berliner Beauftragte für Datenschutz und Informationsfreiheit derzeit ihre Zuständigkeit für diesen Sachverhalt", teilte die Behörde auf Anfrage mit.

Datenleck bei Fahrradverleih "O-Bike"
tagesschau 12:00 Uhr, 30.11.2017, Pia Dangelmayer/Robert Schöffel, BR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Über dieses Thema berichtete Inforadio am 30. November 2017 um 06:23 Uhr.

Darstellung: