AngelSense Datenleck: GPS-Standorte und Audioaufnahmen offengelegt – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

AngelSense-Leck setzt die Schwächsten höchstem Risiko aus

Der GPS-Tracker AngelSense, entwickelt für Menschen mit besonderen Bedürfnissen, ließ eine Datenbank ungeschützt, die Live-Standorte, Audioaufnahmen und Passwörter von Nutzern preisgab. Die Entdeckung durch die Cybersicherheitsfirma UpGuard enthüllt die privatesten Daten tausender Familien.

Das AngelSense-Logo und ein GPS-Tracking-Gerät auf einer Hintergrundgrafik zu einem Datenleck.

Was ist passiert

Stellen Sie sich vor, Sie vertrauen einer Technologie, um Ihre schutzbedürftigsten Angehörigen zu sichern – vielleicht Ihr Kind mit Autismus oder einen Elternteil mit Demenz. Diese Technologie sagt Ihnen, wo sie sind, warnt Sie, wenn sie sich in eine gefährliche Gegend begeben, und lässt Sie im Notfall sogar die Umgebung abhören. Stellen Sie sich nun vor, dieselbe Technologie hätte jedes einzelne dieser sensiblen Daten ungeschützt und ohne Passwort im Internet zurückgelassen, für jedermann einsehbar. Das ist die Realität, mit der AngelSense-Nutzer heute konfrontiert sind.

Am 1. Juni 2026 veröffentlichte die Cybersicherheits-Forschungsfirma UpGuard einen Bericht, der enthüllte, dass eine riesige Datenbank von AngelSense, einem Hersteller von GPS-Trackern für Menschen mit besonderen Bedürfnissen, völlig offen und zugänglich war. Die Forscher von UpGuard entdeckten, dass eine von der Firma genutzte Elasticsearch-Datenbank ohne Passwort oder Authentifizierung für das öffentliche Internet zugänglich war. Das bedeutet, dass nicht einmal grundlegende Cybersicherheitsmaßnahmen ergriffen wurden. Man musste kein Hacker sein, um darauf zuzugreifen; jeder, der die richtige Adresse kannte, konnte leicht an die privatesten Informationen von Tausenden von Nutzern gelangen.

AngelSense hat seine gesamte Marketingstrategie auf Sicherheit und Seelenfrieden aufgebaut. Sie verkaufen Familien das beruhigende Gefühl, zu wissen, dass ihre Lieben sicher sind. Dieses Leck hat jedoch gezeigt, wie zerbrechlich dieses Vertrauen war. Das wertvollste Gut des Unternehmens – seine Nutzerdaten – war so ungeschützt wie ein Buch, das in einer öffentlichen Bibliothek für jedermann zum Lesen ausliegt. Nachdem UpGuard die Situation entdeckt hatte, kontaktierte die Firma sofort AngelSense, und das Unternehmen sicherte die Datenbank nach Erhalt der Warnung. Aber die Frage bleibt: Wie lange stand diese Tür offen, und wer ist hindurchgegangen, während niemand hinsah?

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →

Die preisgegebenen Daten

Was diesen Datenleck von anderen unterscheidet, ist die Art der gestohlenen Daten. Dies ist nicht nur ein weiteres Leck von E-Mails und Passwörtern. Dies ist weitaus persönlicher, intimer und potenziell weitaus gefährlicher. Die exponierte Datenbank enthielt:

  • Benutzerinformationen: Vollständige Namen, E-Mail-Adressen sowie Privat- und Mobiltelefonnummern von Eltern und Erziehungsberechtigten. Diese Informationen sind eine Goldgrube für direkten Betrug und Identitätsdiebstahl.
  • Passwörter im Klartext: Dies ist vielleicht der unverzeihlichste Teil. Die Passwörter, die Benutzer zur Anmeldung bei ihren AngelSense-Konten erstellt hatten, wurden ohne jegliche Verschlüsselung im Klartext gespeichert. Das bedeutet, wenn Ihr Passwort "passwort123" war, erschien es in der Datenbank auch als "passwort123". Bedenkt man, dass viele Menschen Passwörter auf mehreren Plattformen wiederverwenden, gefährdet dies nicht nur ihre AngelSense-Konten, sondern potenziell ihr gesamtes digitales Leben.
  • Geräteinformationen: Die eindeutige ID und Seriennummer für jedes GPS-Gerät. Dies könnte es erleichtern, das Gerät einer bestimmten Person gezielt anzugreifen.
  • Echtzeit-Standortdaten: Dies könnte der erschreckendste Datenpunkt sein. Die Live-Längen- und Breitengradkoordinaten der Benutzer. Mit anderen Worten, der genaue Standort der Person, die das Gerät in diesem Moment trägt. Dies würde es jemandem ermöglichen, jede Bewegung eines Kindes in der Schule, im Park oder zu Hause zu verfolgen.
  • Benannte Orte: Die vollständigen Adressen und geografischen Koordinaten von Orten, die Benutzer in der App gespeichert haben, wie z. B. "Zuhause", "Schule", "Arbeit" und "Therapeut". Dies zeichnet ein vollständiges Bild des Tagesablaufs einer Person, wo sie ihre Zeit verbringt, und ihres gesamten Lebensstils.
  • Warnungen und Alarme: Ein Protokoll aller automatischen Warnungen, wie "Schule verlassen", "Zuhause angekommen" oder "Unerwarteter Halt". Dies bietet eine Möglichkeit, die Bewegungsmuster einer Person und Abweichungen von ihrer Routine zu analysieren.
  • Audioaufnahmen: AngelSense-Geräte verfügen über eine "Listen-In"-Funktion, die es Erziehungsberechtigten ermöglicht, im Notfall die Umgebung des Geräts abzuhören. Die durchgesickerte Datenbank enthielt Links zu Audiodateien, die während dieser Sitzungen aufgenommen wurden. Dies bedeutet, dass private Gespräche, der Unterricht eines Kindes in der Schule oder die Diskussion eines Erwachsenen mit seinem Arzt von Dritten abgefangen worden sein könnten. Es ist eine tiefgreifende Verletzung der Privatsphäre auf fundamentalster Ebene.

Wie der Angriff geschah

Wir sprechen hier nicht von einer komplexen Hacking-Operation oder einem staatlich geförderten Cyberangriff. Die Realität ist viel einfacher und umso frustrierender: Fahrlässigkeit. AngelSense nutzte Elasticsearch, eine beliebte Datenbanktechnologie, zur Speicherung von Kundendaten. Diese Datenbanken sind bei korrekter Konfiguration recht sicher. Aber es gibt eine goldene Regel: Eine dem Internet ausgesetzte Datenbank muss über ein Passwort und Zugriffskontrollen verfügen.

Anscheinend hat AngelSense diese grundlegendste Regel missachtet. Die Datenbank war so konfiguriert, dass jeder im Internet ohne spezielle Software oder Fähigkeiten darauf zugreifen konnte. Forscher bei UpGuard entdeckten diesen offenen Server beim Scannen des Internets mit ihren Tools. Es war so einfach wie das Betreten eines Hauses mit weit offener Tür und einem Schild mit der Aufschrift "Wertgegenstände im Inneren". Angreifer hätten diese Datenbank finden und alle Daten über einen Zeitraum von Tagen oder sogar Wochen kopieren können. Bis das Unternehmen sie sicherte, blieb diese Tür offen, und es ist unbekannt, wer ein- und ausging.

Wer ist betroffen

Die Ziele dieses Lecks sind einige der schutzbedürftigsten Mitglieder der Gesellschaft. AngelSense-Geräte werden oft von Personen mit Autismus, Asperger, Demenz, Alzheimer und anderen kognitiven oder entwicklungsbedingten Unterschieden verwendet. Diese Personen und ihre Familien verlassen sich auf diese Technologie, um ihre Sicherheit zu gewährleisten und das Risiko des Verlorengehens zu verringern.

Betroffen sind nicht nur die Personen, die die Geräte tragen, sondern auch ihre Familien, Erziehungsberechtigten und Betreuer. Dieses Leck gibt böswilligen Akteuren eine unglaubliche Macht. Den genauen Weg zu kennen, den ein Kind von der Schule nach Hause geht, oder zu welcher Zeit es jeden Tag im Park spielt, bietet einen schrecklichen Vorteil für einen potenziellen Entführer. Zu wissen, wo eine ältere Person mit Demenz lebt und wann sie allein ist, macht sie zu einem leichten Ziel für Betrug oder Diebstahl. Die durchgesickerten Audioaufnahmen könnten als Erpressungsmaterial verwendet werden, zusätzlich zur Verletzung der familiären Privatsphäre. Ein Produkt, das Familien zur "Sicherheit" kauften, hat sich in ihren größten Sicherheitsalbtraum verwandelt.

Was Sie tun können

Wenn Sie ein AngelSense-Benutzer sind oder waren, müssen Sie jetzt sofort handeln. Sie benötigen mehr als den klassischen Ratschlag "Ändern Sie Ihr Passwort". Die Lage ist ernst.

  • Ändern Sie alle Ihre Passwörter, nicht nur das von AngelSense: Da Ihr Passwort im Klartext durchgesickert ist, müssen Sie sofort das Passwort für jedes einzelne Online-Konto ändern, bei dem Sie es verwendet haben (E-Mail, soziale Medien, Banking). Angreifer testen routinemäßig E-Mail- und Passwortkombinationen aus solchen Lecks auf anderen großen Plattformen. Dies ist der dringendste Schritt.
  • Überprüfen Sie Ihre AngelSense-Kontoinformationen: Melden Sie sich bei Ihrem Konto an und überprüfen Sie die Richtigkeit Ihrer gespeicherten Orte wie "Zuhause" und "Schule". Sehen Sie Orte oder Warnungen, die Sie nicht erkennen? Wurden Änderungen an Ihren Kontoeinstellungen, Ihrer Telefonnummer oder Ihrer E-Mail-Adresse vorgenommen? Stellen Sie sicher, dass Sie immer noch die volle Kontrolle über Ihr Konto haben.
  • Seien Sie besonders wachsam gegenüber Phishing und Betrug: Angreifer kennen jetzt Ihren Namen, Ihre E-Mail-Adresse, Ihre Telefonnummer und die Tatsache, dass Sie AngelSense verwenden. Sie können sehr überzeugend gefälschte E-Mails oder Textnachrichten verfassen, die vorgeben, vom "AngelSense Support-Team" bezüglich des Lecks zu stammen. Sie könnten Sie auffordern, auf einen Link zu klicken oder weitere Informationen preiszugeben. Vertrauen Sie keinen verdächtigen Nachrichten. Wenn Sie das Unternehmen kontaktieren müssen, tun Sie dies direkt über die offizielle Website.
  • Fordern Sie Antworten vom Unternehmen: Geben Sie sich nicht mit der allgemeinen Pressemitteilung von AngelSense zufrieden. Als Kunde haben Sie das Recht, genau zu wissen, welche Ihrer Daten oder der Daten Ihres Angehörigen preisgegeben wurden. Senden Sie eine E-Mail oder rufen Sie den Kundendienst an und fragen Sie, wie Ihr Konto speziell von diesem Leck betroffen war und welche zusätzlichen Schritte unternommen werden, um Ihre Daten zu sichern.
  • Überdenken Sie die Listen-In-Funktion: Die Tatsache, dass Audioaufnahmen durchgesickert sind, zeigt, welch massives Datenschutzrisiko diese Funktion birgt. Müssen Sie sie wirklich nutzen? Überwiegt der Nutzen das potenzielle Risiko? Vielleicht könnte die Deaktivierung dieser Funktion die Auswirkungen eines zukünftigen Lecks mildern.

Was das Unternehmen sagt

Laut dem Bericht von UpGuard handelte AngelSense schnell, nachdem es über das Leck informiert wurde, und sicherte die offene Datenbank. In einer öffentlichen Erklärung bestätigte das Unternehmen, von einem Sicherheitsforscher auf einen Konfigurationsfehler aufmerksam gemacht worden zu sein. In der Erklärung hieß es: "Die Sicherheit und der Schutz der Privatsphäre unserer Nutzer haben für uns höchste Priorität. Wir haben den unbefugten Zugriff auf die Datenbank unverzüglich geschlossen und eine interne Untersuchung eingeleitet, um das Ausmaß des Vorfalls zu bestimmen. Wir kontaktieren direkt alle Nutzer, die möglicherweise betroffen sind. Wir bedauern diesen Vorfall zutiefst und arbeiten daran, unsere Systeme weiter zu stärken." Diese Erklärung lässt jedoch entscheidende Fragen unbeantwortet, z. B. wie lange die Daten exponiert waren und ob böswillige Akteure in dieser Zeit darauf zugegriffen haben.

Quelle

https://www.upguard.com/breaches/angelsense-data-leak

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Sicherheitsfirma APIsec Leakt Eigene Kundendaten Nächster Beitrag → Spanien verhaftet Hacker nach Datenleck bei Regierung

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.