Strava mit neuem Leck beim Tracking: Dieses Mal trifft es den israelischen Geheimdienst

Recherchen der Open-Source-Ermittler der Plattform Fakereporter zeigen, dass es immer noch möglich ist, auf relativ einfache Weise die Segment-Funktion des Dienstes Strave zu missbrauchen. Das berichtet die israelische Zeitung Haaretz.
Fake-Segmente in Militäreinrichtungen erlauben Zugriff auf Personendaten
Das Team von Fakereporter konnte demnach Hinweise verifizieren, wonach eine unbekannte Person auf Strava Streckensegmente in israelischen Militär- sowie Geheimdiensteinrichtungen erstellt haben und im Nachgang personenbezogene Daten zu etwa 100 dort aktuell oder ehemals stationierten Personen abgreifen konnte.
Laut Fakereporter war der Zugriff auch dann möglich, wenn Personen die striktesten Privatsphäreneinstellungen gesetzt hatten. Der simple Trick, um an die Personendaten zu kommen, bestand darin, in militärischen Einrichtungen sogenannte Segmente anzulegen. Dabei handelt es sich um kurze Streckenteile, die als Teilwettbewerb angelegt sind, sodass sich Menschen mit anderen an Bestzeiten messen können.
Konkret sollen über einen nicht zuzuordnenden Account Segmente in zwei Einrichtungen der israelischen Luftwaffe und drei Einheiten des israelischen Geheimdienstes angelegt worden sein. Auffällig hätte hier bereits sein können, dass die gelaufenen Zeiten über die Segmente stets bei null Sekunden lagen. Das wird indes von Strava nicht geprüft.
Teilweise Verfolgung über mehrere Standorte möglich
Wenn nun jemand das angelegte Segment gelaufen war, konnte die unbekannte Person hinter dem Account entsprechende Informationen abrufen, unter anderem deren andere Trainingsorte. Das soll sogar bei auf komplett privat gestellten Profilen funktioniert haben. Denn für das Nichtanzeigen der Segment-Daten müsste jedes individuelle Training, das das entsprechende Segment einbezieht, noch einmal explizit gesperrt werden – etwas, das kaum jemand weiß.
Wie der britische Guardian überprüfen konnte, war es in einem besonders extremen Fall möglich, die Trainings einer Person mit mutmaßlicher Verbindung zum Atomprogramm Israels über verschiedene Militärstandorte hinweg bis ins Ausland zu verfolgen. Insgesamt sollen rund 100 Personen auf diese Weise bespitzelt worden sein.
Bei einem der mit einem oder mehreren Segmenten versehenen Standorten soll es sich um den Hauptsitz des israelischen Auslandsgeheimdiensts Mossad gehandelt haben. Laut Strava wurden „die notwendigen Gegenmaßnahmen“ unternommen.
Strava verspricht Gegenmaßnahmen
Es wundert nicht, dass an dieser Aussage Zweifel aufkommen. Immerhin hatte es das identische Problem schon 2018 gegeben, als Strava eine Weltkarte mit allen bisherigen Trainings der weltweiten Nutzerschaft veröffentlicht hatte.
Bei näherem Hinsehen hatten sich darin geheime Militärbasen in aller Welt finden lassen. Das dortige Personal hatte offenbar mit Strava dort trainiert und die Trainings in den Dienst geladen. So sorgten etwa kreisrunde Tracks im afghanischen Hinterland für Kopfschütteln. Strava hatte auch damals versprochen, Gegenmaßnahmen zu ergreifen. Den Erkenntnissen der Fakereporter zufolge scheint das nicht von Erfolg gekrönt gewesen zu sein.