ai.type ist eine solche Drittanbieter-Tastatur, nach eigenen Angaben erzielte man mehr als 40 Millionen Downloads der Tastatur. Und man hat 577 GB Daten in einer Mongo-Datenbank gespeichert, die man dann wiederum nicht abgesichert hat. Lag da einfach auf dem Server rum und konnte von jedem eingesehen werden. Entdeckt wurde das ganze vom Kromtech Security Center.
Interessant ist in diesem Fall natürlich, ob oder wie die Daten gesichert sind und um welche es sich überhaupt handelt. Die schlechte Nachricht: Eine Verschlüsselung oder andere Sicherungsmaßnahmen waren nicht vorhanden und es wurden auch sehr viele Daten der Nutzer gespeichert. Zum Beispiel alle Kontakte, die ein Nutzer hat. Aber auch der Nutzer selbst ist durch die Datensammelei sehr durchsichtig.
Von 31.293.959 Nutzern wurden Informationen wie Handynummer, Name des Besitzers, Gerätename und Modell, Mobilfunkanbieter, IMSI, IMEI, E-Mails und zahlreiche weitere Informationen gespeichert, die nun in Umlauf sind. Auch gut 6,4 Millionen Einträge, die Informationen aus Adressbüchern der Nutzer enthalten, wurden entdeckt. Insgesamt wurden mehr als 373 Millionen „Einträge“ von Nutzer-Smartphones abgegriffen und in der Datenbank gespeichert.
Auch Informationen zu Nutzung der Tastatur finden sich in den Einträgen, wie viele Wörter im Schnitt getippt wurden und so etwas. Laut BSI wurden auch Kreditkartendaten sowie Tastatureingaben gespeichert. Das BSI rät zudem, Passwörter von mit der Tastatur genutzten Accounts zu ändern.
Dass es sich bei dem öffentlichen Zugang zur Datenbank um einen unbeabsichtigten Fehler handelt, dürfte der Umstand belegen, dass ein etwaiger Angreifer die Datenbank nicht nur hätte auslesen, sondern Inhalte auch direkt löschen können. Wie es allerdings zu so einem Fehler kommen kann, wenn man auf Daten von über 30 Millionen Nutzern aufpassen muss, ist mir schleierhaft.
Ebenso, warum kein Wort zur Verschlüsselung der Daten verloren wird. Es ist das eine, an eine Datenbank zu kommen, eine andere aber, diese auch problemlos auslesen zu können. Aber so ist das im Leben, wenn der menschliche Faktor mitspielt: Fehler passieren, auch wenn sie das – gerade in so sensiblen Bereichen – natürlich nicht passieren sollten.
Unklar ist bislang auch, warum ai.type überhaupt diese Menge an Daten sammelt. Da sind durchaus auch Informationen dabei, von denen der Nutzer nicht damit rechnet, dass sie von einer Tastatur-App benötigt werden.
Habt Ihr die Tastatur genutzt? Werdet Ihr sie weiterhin nutzen? Verfügbar ist diese übrigens für iOS und Android, sollte jemand einen Blick riskieren wollen, es gab auch erst ein Update.