Menü

US-Mobilfunker AT&T verrät Kundendaten

Name, Telefonnummer, E-Mail- und Rechnungsadresse und oft auch den aktuellen Aufenthaltsort – diese Kundendaten scheint der US-Netzbetreiber AT&T Dritten zu verkaufen. Und diese schützten die Daten nicht.

Mobilfunkantennen

(Bild: dpa, Uwe Anspach)

Der US-Mobilfunknetzbetreiber AT&T verrät Dritten, wo AT&T-Kunden wohnen, welche E-Mail-Adresse sie haben und wo die Mobilfunkzelle ist, in das Handy gerade eingebucht ist. Konkurrent Verizon dürfte den gleichen Geschäftszweig verfolgen. Das berichtet der kalifornische Programmierer Philip Neustrom in einem Blogbeitrag. Er gibt an, nach einem Insiderhinweis mit seinem AT&T-Handy auf zwei Webpages gesurft zu sein, die diese Daten freimütig und topaktuell offenlegten, solange kein VPN aktiviert war.

Danals Demoseite, bevor sie offline ging

(Bild: Neustrom/Screenshot)

Letzteres deutet darauf hin, dass die IP-Adresse des Handys mit dem Netzbetreiber abgeglichen wurde. Die Webpages waren Demo-Seiten der Firmen Danal, einem Anbieter von "Mobile Identity" Daten zur Betrugsvorbeugung, und Mitbewerber Payfone, der "instant mobile authentification" anbietet. Um Danal die Kundendaten zu entlocken, reichte der Aufruf mit dem jeweiligen Handy und die Eingabe der Postleitzahl der Rechnungsadresse. Bei Payfone musste nicht einmal die Postleitzahl eingegeben werden.

Die in den Einstellungen seines AT&T-Kundenkontos versteckte Opt-Out-Möglichkeit hat laut Neustrom nichts bewirkt. Seine Daten waren auch zwei Tage später noch abrufbar. Auf Danals Demoseite stand, dass es sich nur um einen Auszug aus den verfügbaren Informationen handle.

Mehr Infos

Nach Neustroms Veröffentlichung sind die beiden Webpages offline gegangen. Payfone habe auch die zuvor öffentlich verfügbare Dokumentation einer Schnittstelle zum Datenabruf (API) entfernt, berichtet Neustrom. Die zugrundeliegenden Daten stammen wohl direkt von AT&T, welche sie an Firmen wie Danal und Payfone verkauft, die sie dann wiederum anderen Firmen weiterverkaufen.

Payfones Demoseite, bevor sie offline ging

(Bild: Neustrom/Screenshot)

AT&T hat im Dezember 2013 eine "Mobile Identity API" vorgestellt, über die Vertragspartner wie Payfone solche Daten abrufen können. Verizon bietet einen ähnlichen Dienst. Offiziell dient dieser Datenhandel der Betrugsbekämpfung, etwa in dem die Kundenangaben im Zuge einer Onlinebestellung abgeglichen werden. Da sich die in Mobilfunknetzen zugeordneten IP-Adressen oft lange Zeit nicht ändern, lasse sich dieser Dienst aber auch dazu missbrauchen, fast jeden Handynutzer in den USA zu identifizieren und seine Fortbewegungen zu verfolgen, warnt Neustrom.

heise online hat die vier großen US-Mobilfunknetzbetreiber AT&T, Verizon, T-Mobile und Sprint um Stellungnahme ersucht. (ds)

Anzeige
Zur Startseite
Anzeige