Menü
Mac & i

Überwachungsdienst "Teensafe" gab Apple-ID-Passwörter im Klartext preis

Ein für Eltern gedachter Spionagedienst zur Überwachung der Smartphone-Aktivitäten ihrer Kinder speicherte iCloud-Zugangsdaten einem Bericht zufolge im Klartext – auf einem ungeschützten Server.

Von
vorlesen Drucken Kommentare lesen 45 Beiträge
Überwachungs-Dienst "Teensafe" gab Apple-ID-Passwörter im Klartext preis

Das Smartphone als stete Bedrohung – so zeichnet es die Webseite von Teensafe und möchte zur Überwachung die Apple-ID-Zugangsdaten.

(Bild: Screenshot Teensafe Webseite)

Der Dienst Teensafe ist angeblich leichtfertig mit sensiblen Nutzerdaten umgegangen: Das für Eltern gedachte Spionage-Tool habe eine Datenbank mit Accounts ungeschützt und öffentlich zugänglich auf “mindestens einem Server” hinterlegt, wie Zdnet berichtet. Ein Sicherheitsforscher habe insgesamt zwei von Teensafe nicht abgesicherte Server auf Amazon Web Services aufgespürt.

Account-Datensätze mit Klartext-Passwörtern

Einer der Server enthielt offenbar nur Testdaten, auf dem anderen fand sich dem Bericht zufolge aber eine frei zugängliche Datenbank mit rund 10.000 Nutzer-Accounts. Neben den E-Mail-Adressen, die Eltern für ihren Teensafe-Account verwendet haben, seien dort auch die zugehörigen Apple-ID-Daten der überwachten Kinder gelandet – mitsamt der Passwörter im Klartext. Man habe betroffene Nutzer kontaktiert, die die Echtheit der darin hinterlegten Zugangsdaten bestätigt haben, schreibt Zdnet.

Die beiden Server sind angeblich nicht länger erreichbar. Man habe “einen der eigenen Server für die Öffentlichkeit gesperrt”, erklärte TeenSafe in einer Stellungnahme gegenüber Zdnet, “möglicherweise betroffene” Kunden sollen informiert werden.

Teensafe soll Smartphone-Kommunikation und Aufenthaltsorte offenlegen

Der für iOS wie Android ausgelegte Abo-Dienst Teensafe soll Eltern Einblick in die Smartphone-Kommunikation ihrer Kinder geben und etwa das Mitlesen von Text- und WhatsApp-Nachrichten ermöglichen. Auch Zugang zum Browser-, Telefonie- und Standort-Verlauf gehören zum angepriesenen Funktionsumfang.

Um Eltern diese Daten bereitzustellen, wertet der Dienst offenbar die iCloud-Backups der Kinder aus – und benötigt zu diesem Zweck deren Apple-ID-Zugangsdaten. Um diese Überwachungs-Funktionalität bereitzustellen, muss zudem Apples Zwei-Faktor-Authentifizierung bei den Kindern deaktiviert werden.

Der ungeschützte Datensatz habe keine weiteren Nutzerdaten wie etwa Aufenthaltsorte oder Textnachrichten enthalten, so Zdnet. Ein Angreifer, der in Besitz der ungeschützten Zugangsdaten der Teenager gerät, erhält aufgrund des fehlenden Zwei-Faktor-Schutzes aber sofort weitreichende Zugriffsmöglichkeiten auf die in iCloud gespeicherten persönlichen Daten. (lbe)