Livetrack 24 stopft Datenleck

Über Jahre hinweg waren persönliche Daten von Tausenden von Gleitschirmfliegern bei Livetrack 24 problemlos einsehbar. Handynummern und Emailadressen zum Beispiel. 

Ein Ausschnitt aus den personenbezogenen Daten, die auf
Livetrack 24 ungeschützt einsehbar waren. Die hier grau
durchgestrichenen Bereiche sind im Original lesbar.
Es gibt Dinge, die kommen eher zufällig ans Licht: Der Gleitschirmpilot Sebastian Schmied kam im vergangenen Sommer auf die Idee, die Tasks diverser Gleitschirm-Wettbewerbe statistisch genauer analysieren zu wollen. Er wusste, dass auf Livetrack 24 nicht nur Dutzende solcher Events der vergangenen Jahre dokumentiert sind, sondern dass man dort auch zugehörige Daten mit allen  Turnpoints etc. nachträglich herunterladen kann. Einfach so, ohne Passwortschutz. Allerdings fand er dann noch mehr.

In den zip-Dateien, in denen Livetrack 24 die Infos zu jedem Wettbewerb zusammenfasste, befand sich jeweils auch eine sogenannte FSDB-Datei. Das ist eine Art Datenbank im reinen Textformat. Und darin waren dann auch alle Piloteninfos enthalten, die die Organisatoren der Wettbewerbe via Livetrack 24 gesammelt und verwaltet hatten – darunter Namen, Email-Adressen, Handynummern, Sportlizenznummern etc. Alles unverschlüsselt und im Klartext einsehbar. (Ein beispielhafter Ausschnitt ist oben im Bild zu sehen. Er stammt aus einer solchen FSDB-Datei eines kleinen Wettbewerbs, an dem ich selbst 2017 teilgenommen hatte). 

Nach diesem ersten Fund machte Sebastian die Probe aufs Exempel. Er schrieb ein kleines Script, mit dem er die zip-Dateien Hunderter Wettbewerbe auf Livetrack 24 herunterladen und die FSDB-Daten automatisiert auslesen konnte. Am Ende verfügte er nach eigenen Angaben über mehr als 14.000 Datensätze, die mindestens Namen und zugehörige Emailadressen von Piloten aus aller Welt enthielten – von PWC-Größen bis hin zu Gelegenheits-Wettbewerbsfliegern. 

In Zeiten gewachsener Datenschutzbedürfnisse ist ein so offen klaffendes und ohne jegliche Hacker-Künste zugängliches Datenleck ein Hohn. Also schrieb Sebastian im Juli 2020 eine Email an den LT24-Betreiber Manolis Andreadakis, um ihn auf das Problem hinzuweisen. Er präsentierte ihm sogar eine einfach zu realisierende Lösung. Manolis versprach eine Änderung "in den nächsten Tagen".

Mehr als ein halbes Jahr später klaffte das Datenleck aber immer noch in gleicher Weise. Und auf eine erneute Email erhielt Sebastian keine weitere Reaktion. Also entschloss er sich, die "Medien" zu Hilfe zu rufen. Er kontaktierte Lu-Glidz, um die Story zu erzählen. Und so folgte, was er sich mit diesem Schritt erhofft hatte.

Auch Lu-Glidz schrieb vergangene Woche an Manolis Andreadakis, mit dem Hinweis, über das Datenleck bei Livetrack 24 informiert zu sein und diese Geschichte bald öffentlich machen zu wollen, weshalb es vielleicht im Interesse aller sei, das Leck zuvor zu stopfen. 

Die Antwort kam relativ prompt: "Ich werde an diesem Wochenende mein Bestes geben und das regeln", schrieb Manolis. Und er hielt Wort. Am Sonntag abend meldete er, all zip-Dateien mit persönlichen Informationen auf Livetrack 24 gelöscht und den Code der Seite so geändert zu haben, dass künftige Wettbewerbsinfos keine FSDB-Dateien mit den persönlichen Pilotendaten mehr enthalten. 

Auch Sebastian zeigte sich zufrieden: "Ich hab es gerade versucht und kann bestätigen, dass ich nicht mehr an die Daten rankomme."

File closed? Zumindest ist das Leck geschlossen. Allerdings bleibt unklar, ob die von Sebastian entdeckte Lücke nicht auch schon von anderen Leuten genutzt wurde, um Pilotendaten abzugreifen. Zeit genug hätten sie über Jahre hinweg ja gehabt.



2 Kommentare:

Philipp Bethge hat gesagt…

coole aktion!

Marcel hat gesagt…

Hallo Lucian,

im Anbetracht der Tatsache, daß die Domain status.livetrack24.com in der sogenannten Cit0Day Hackerdatei

https://gist.github.com/kssi/a476cb0467fea59ca826ab380710a2b4

aufgeführt ist, muß man davon ausgehen, daß sämtliche dieser Daten von kriminellen Subjekten abgegriffen und mißbraucht wurden.

Was übrigens nicht so cool ist, ist daß livetrack24 seine Nutzer darüber nicht informiert hat. Immerhin hast Du darüber berichtet. Danke.

Gruß,
Marcel