TeenSafe-Elternüberwachungsdienst leakt Tausende von Kinderpasswörtern

Ein Dienst, der dazu gedacht ist, Eltern bei der Überwachung der Internetaktivitäten ihrer Kinder auf iPhone- und Android-Geräten zu helfen, hat Tausende von Benutzerpasswörtern geleakt, berichtet ZDNet. Der Dienst, TeenSafe, gibt vor, eine “sichere” Überwachungs-App für sowohl iOS als auch Android zu sein, die es Eltern ermöglicht, die Textnachrichten ihres Kindes, die Anrufprotokolle, den Standort und den Browserverlauf zu überwachen und mehr. Es scheint jedoch, dass der Dienst für iOS-Geräte darauf angewiesen ist, dass Eltern die Apple-ID-Passwörter ihrer Kinder bereitstellen, die auf den Servern des Unternehmens gespeichert sind, möglicherweise um auf iCloud-Daten zuzugreifen.

Ein in Großbritannien ansässiger Sicherheitsforscher, Robert Wiggins, entdeckte letzte Woche, dass TeenSafe tatsächlich einen oder mehrere seiner Server ungeschützt und für jeden ohne Passwortanforderung zugänglich gelassen hatte. ZDNet informierte das Unternehmen, das die betroffenen Server offline nahm, wobei ein Sprecher von TeenSafe erklärte: “Wir haben Maßnahmen ergriffen, um einen unserer Server für die Öffentlichkeit zu schließen und haben begonnen, Kunden zu benachrichtigen, die möglicherweise betroffen sein könnten.” Die betreffenden Server speicherten Datenbanken, die die E-Mail-Adressen der Eltern zusammen mit der entsprechenden Apple-ID, dem Gerätenamen und dem Klartextpasswort des Kindes enthielten. Obwohl keine der Aufzeichnungen persönliche Inhaltsdaten wie Fotos, Nachrichten oder Standorte enthielt, wäre das Apple-ID-Passwort ausreichend, um jemandem den Zugriff auf persönliche Daten aus dem iCloud-Konto des Kindes und iCloud-Backups zu ermöglichen; TeenSafe verlangt bemerkenswerterweise, dass die Zwei-Faktor-Authentifizierung deaktiviert ist, um den Dienst nutzen zu können.

ZDNet weist darauf hin, dass der Server, bevor er offline genommen wurde, mindestens 10.200 Kundendatenaufzeichnungen aus den letzten drei Monaten enthielt, fügt jedoch hinzu, dass einige Duplikate waren. ZDNet kontaktierte eine Stichprobe von einem Dutzend Eltern, deren E-Mail-Adressen in den geleakten Daten enthalten waren, und bestätigte, dass die Informationen – einschließlich der E-Mail-Adresse ihres Kindes – zumindest kürzlich, wenn nicht sogar aktuell, genau waren. TeenSafe gibt an, über eine Million Eltern, die den Dienst nutzen, zu haben, und es ist nicht bekannt, ob andere exponierte Server existieren, die möglicherweise zusätzliche Daten enthalten haben, noch warum sensible Daten im Klartext gespeichert wurden.