Vor fünf Jahren geriet Strava, eine populärer Dienst zum Aufzeichnen von Lauf- und Radsportaktivitäten, aufgrund von Sicherheitsproblemen in die Schlagzeilen. Von einem Nutzer angelegte Joggingstrecken hatten in Verbindung mit der öffentlichen "Heatmap" dazu geführt, dass sich die Standorte israelischer Militärbasen nachvollziehen ließen. Auch eigentlich geheime Militärstandorte in den USA wurden so offengelegt.

Vergangenes Jahr gab es abermals Kritik. Erneut wurde aufgezeigt, dass über die Heatmap die Aktivitäten auf Stützpunkten von Armee und Geheimdienst ausforschbar sind. Dabei ließen sich über das Anlegen kurzer "Wettbewerbsstrecken" auch strenge Privatsphäreeinstellungen der Nutzer aushebeln und der Aufenthalt in den militärischen Einrichtungen individuellen Accounts zugeordnet werden. Und wie es aussieht, hat Strava diese Problematik immer noch nicht im Griff, berichtet Connect the Watts.

Heatmap als Datengrube

Forscher der North Carolina State University haben herausgefunden (PDF), dass sich die Heatmap – die aus Zeitstempeln von von Nutzern absolvierten Laufrouten generiert wird – de-anonymisieren lässt. Für private Profile werden zwar in der Datenbank keine Aktivitäten aufgelistet, die Aktivitäten selbst scheinen aber eben auch in der Heatmap auf. Die Problematik ähnelt also jener von 2018 und 2022.

Auszug aus dem Paper zur Deanonymisierung der Strava Heatmap.
North Carolina State University

Die Wissenschafter waren in der Lage, den Start- und Endpunkt von Aktivitäten zu ermitteln. In Kombination mit einer Karte wie Open Street Maps und anderen öffentlich verfügbaren Daten – in den USA etwa aus dem Wählerregister – ist es damit möglich, Name und Wohnadresse einzelner Nutzer herauszufinden, selbst wenn deren Profil eigentlich auf privat geschaltet ist.

Die Genauigkeit ihrer Methode bezifferten die Sicherheitsexperten mit 37,5 Prozent. Dieser Wert erscheint auf den ersten Blick nicht sehr hoch. Jedoch darf man dabei nicht vergessen, dass der Ausgangspunkt Daten sind, die laut Hersteller anonymisiert wurden und somit gar keine Nachverfolgung ermöglichen sollten. Zudem lässt sich dieses "Doxxing" laut den Forschern weitgehend automatisieren.

Es bleibt nun abzuwarten, wie – oder ob – Strava auf diese neuen Erkenntnisse reagieren wird. Bisherige Maßnahmen zur Erhöhung des Datenschutzes in Bezug auf die Heatmap haben offenbar nicht gefruchtet. (gpi, 15.6.2023)