Der Internetdienst Strava hat mit seinen Trainingsdaten offenbar immer noch sensible Informationen über Militärangehörige und Geheimdienste offengelegt. Das berichtet die israelische Zeitung Haaretz unter Berufung auf das Portal FakeReporter, das sich Open-Source-Ermittlungen (OSInt) widmet.

Dort habe man einen Hinweis erhalten, dass eine unbekannte Person auf Strava Streckensegmente in israelischen Militär- sowie Geheimdiensteinrichtungen erstellt hat und personenbezogene Daten zu etwa 100 Menschen abgreifen konnte, die dort stationiert sind beziehungsweise waren. Einen ausreichenden Schutz davor habe es bei Strava nicht gegeben, selbst mit den striktesten Privatsphäreneinstellungen wären die Daten einsehbar gewesen. Die Enthüllung erinnert an gleichartigen Fall vor mehr als vier Jahren – betroffen war damals ebenfalls Strava.

Trainingszeit: 0 Sekunden

Die von der Haaretz erläuterte Vorgehensweise sollte eigentlich seit Jahren nicht mehr funktionieren. Mit einem nicht zuzuordnenden Account wurden demnach Segmente auf Strava eingefügt, die in zwei Einrichtungen der israelischen Luftwaffe und drei von israelischen Geheimdiensten lagen. Eigentlich sollen solche Segmente Trainingsstrecken sein, auf denen mehrere Personen ihr Zeiten vergleichen können. Im konkreten Fall war das aber wohl nicht das Ziel, denn selbst über längere Distanzen standen immer 0 Sekunden als gelaufene Zeit: Strava prüft nicht, ob hochgeladene Daten auf echten Trainings beruhen. Die unbekannte Person hinter dem Account war also mutmaßlich nie vor Ort, bekam aber nach der Einrichtung der Segmente Informationen über andere, die dort trainierten. Darüber war mehr über die Läufer und Läuferinnen zu finden, unter anderem andere Trainingsorte.

Betroffen waren selbst auf komplett privat gestellte Accounts, denn die müssten jedes einzelne Training auf dem jeweiligen Segment individuell für fremde Blicke sperren. In einem Fall, den der britische Guardian überprüft hat, konnten die Trainings einer Person mit mutmaßlicher Verbindung zum Atomprogramm Israels über verschiedene Militärstandorte sowie sogar ins Ausland nachverfolgt werden. Insgesamt hatte die unbekannte Person hinter dem Strava-Account "Ez Shl" demnach Zugriff auf solche und ähnliche Informationen zu etwa 100 verschiedenen Personen. Bei einem der betroffenen Standorte habe es sich um den Hauptsitz des israelischen Auslandsgeheimdiensts Mossad gehandelt. Strava versicherte dem Guardian, "die notwendigen Gegenmaßnahmen" unternommen zu haben. Was genau getan wurde, ist nicht bekannt.

Die Enthüllung erinnert an Geschehnisse aus dem Januar 2018. Damals war eine Weltkarte von Strava ins Blickfeld der Öffentlichkeit gerückt, auf der viele eigentlich vertrauliche Informationen über Militärbasen in aller Welt abzurufen waren. Anders als jetzt waren die Daten damals sogar komplett öffentlich. Auf der Karte ließen sich eigentlich geheime Militärbasen in aller Welt finden, weil Soldaten und Soldatinnen dort trainierten und Daten dazu auf Strava hochgeladen hatten. Dadurch waren unter anderem kreisrunde Trainingsstrecken im afghanischen Hinterland einsehbar. Später war deutlich geworden, dass sich sogar einzelne Trainierende identifizieren ließen. Strava hatte zwischenzeitlich das Anlegen neuer Segmente unterbunden, die Nacharbeiten waren aber wohl nicht ausreichend.

(mho)