Ein Ausschnitt aus den personenbezogenen Daten, die auf Livetrack 24 ungeschützt einsehbar waren. Die hier grau durchgestrichenen Bereiche sind im Original lesbar. |
In den zip-Dateien, in denen Livetrack 24 die Infos zu jedem Wettbewerb zusammenfasste, befand sich jeweils auch eine sogenannte FSDB-Datei. Das ist eine Art Datenbank im reinen Textformat. Und darin waren dann auch alle Piloteninfos enthalten, die die Organisatoren der Wettbewerbe via Livetrack 24 gesammelt und verwaltet hatten – darunter Namen, Email-Adressen, Handynummern, Sportlizenznummern etc. Alles unverschlüsselt und im Klartext einsehbar. (Ein beispielhafter Ausschnitt ist oben im Bild zu sehen. Er stammt aus einer solchen FSDB-Datei eines kleinen Wettbewerbs, an dem ich selbst 2017 teilgenommen hatte).
Nach diesem ersten Fund machte Sebastian die Probe aufs Exempel. Er schrieb ein kleines Script, mit dem er die zip-Dateien Hunderter Wettbewerbe auf Livetrack 24 herunterladen und die FSDB-Daten automatisiert auslesen konnte. Am Ende verfügte er nach eigenen Angaben über mehr als 14.000 Datensätze, die mindestens Namen und zugehörige Emailadressen von Piloten aus aller Welt enthielten – von PWC-Größen bis hin zu Gelegenheits-Wettbewerbsfliegern.
In Zeiten gewachsener Datenschutzbedürfnisse ist ein so offen klaffendes und ohne jegliche Hacker-Künste zugängliches Datenleck ein Hohn. Also schrieb Sebastian im Juli 2020 eine Email an den LT24-Betreiber Manolis Andreadakis, um ihn auf das Problem hinzuweisen. Er präsentierte ihm sogar eine einfach zu realisierende Lösung. Manolis versprach eine Änderung "in den nächsten Tagen".
Mehr als ein halbes Jahr später klaffte das Datenleck aber immer noch in gleicher Weise. Und auf eine erneute Email erhielt Sebastian keine weitere Reaktion. Also entschloss er sich, die "Medien" zu Hilfe zu rufen. Er kontaktierte Lu-Glidz, um die Story zu erzählen. Und so folgte, was er sich mit diesem Schritt erhofft hatte.
Auch Lu-Glidz schrieb vergangene Woche an Manolis Andreadakis, mit dem Hinweis, über das Datenleck bei Livetrack 24 informiert zu sein und diese Geschichte bald öffentlich machen zu wollen, weshalb es vielleicht im Interesse aller sei, das Leck zuvor zu stopfen.
Die Antwort kam relativ prompt: "Ich werde an diesem Wochenende mein Bestes geben und das regeln", schrieb Manolis. Und er hielt Wort. Am Sonntag abend meldete er, all zip-Dateien mit persönlichen Informationen auf Livetrack 24 gelöscht und den Code der Seite so geändert zu haben, dass künftige Wettbewerbsinfos keine FSDB-Dateien mit den persönlichen Pilotendaten mehr enthalten.
Auch Sebastian zeigte sich zufrieden: "Ich hab es gerade versucht und kann bestätigen, dass ich nicht mehr an die Daten rankomme."
File closed? Zumindest ist das Leck geschlossen. Allerdings bleibt unklar, ob die von Sebastian entdeckte Lücke nicht auch schon von anderen Leuten genutzt wurde, um Pilotendaten abzugreifen. Zeit genug hätten sie über Jahre hinweg ja gehabt.
2 comments
coole aktion!
AntwortenLöschenHallo Lucian,
AntwortenLöschenim Anbetracht der Tatsache, daß die Domain status.livetrack24.com in der sogenannten Cit0Day Hackerdatei
https://gist.github.com/kssi/a476cb0467fea59ca826ab380710a2b4
aufgeführt ist, muß man davon ausgehen, daß sämtliche dieser Daten von kriminellen Subjekten abgegriffen und mißbraucht wurden.
Was übrigens nicht so cool ist, ist daß livetrack24 seine Nutzer darüber nicht informiert hat. Immerhin hast Du darüber berichtet. Danke.
Gruß,
Marcel
Kommentar veröffentlichen
Kommentarregeln!
Auf Lu-Glidz sind nur Kommentare zulässig, die mit einem kompletten Realnamen (Vor- und Nachname) gekennzeichnet werden. Anonyme Kommentare werden grundsätzlich nicht freigeschaltet!
Trage beim Anlegen des Kommentars am besten im Bereich "Name/URL" einfach Deinen Namen ein. Das Feld "URL" kannst Du frei lassen. Du kannst auch "Anonym" wählen. Dann aber solltest Du am Ende des Kommentars Deinen Namen schreiben. Sonst wird der Kommentar nicht erscheinen.
Hinweis zur Freigabe: Alle Kommentare, die respektvoll formuliert sind (keine persönlichen Beleidigungen etc.), das jeweilige Thema das Posts betreffen und eine namentliche Kennzeichnung tragen, werde ich ganz sicher freischalten. Ich bitte aber um etwas Geduld: Manchmal wird die Freigabe nicht sofort erfolgen. Dein Kommentar wird u.U. erst mit einigen Stunden Verzögerung erscheinen. Auch ich bin nicht 24/7 online.