Oura bestätigt staatliche Anfragen nach Nutzerdaten

 (this.weekinsecurity.com)
1 Punkte von GN⁺ 4 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Der Oura Ring erfasst sensible Gesundheitsdaten wie Herzfrequenz, Schlaf, Menstruationszyklus und Standort; wie diese auf Servern gespeichert werden, bestimmt maßgeblich, ob externer Zugriff möglich ist
  • Oura-Daten sind nicht Ende-zu-Ende-verschlüsselt und werden so gespeichert, dass einige Mitarbeitende darauf zugreifen können; dadurch besteht ein Risiko durch Durchsuchungsbeschlüsse, kompromittierte Schlüssel und Insider
  • Oura erklärt, staatliche Anfragen seien selten und würden auf Rechtmäßigkeit, Umfang und Notwendigkeit geprüft, veröffentlicht aber weder die Zahl der Anfragen noch die Häufigkeit der Datenweitergabe
  • Nach dem NSA-Überwachungsskandal von 2013 veröffentlichten viele Tech-Unternehmen halbjährliche Transparenzberichte, Oura hat jedoch auch nach acht Monaten keine entsprechende Zusage gemacht
  • Wenn Oura das Vertrauen seiner Kundschaft wahren will, sollte das Unternehmen nach dem Verkauf von mehr als 5,5 Millionen Geräten aggregierte Zahlen zu staatlichen Datenanfragen offenlegen

Oura-Daten und Zugriffsstruktur

  • Der Oura Ring ist ein Wearable zur Gesundheitsüberwachung, das am Finger getragen wird und sensible Gesundheitsdaten wie Herzfrequenz, Schlafmuster, Menstruationszyklus und Standort erfasst
  • Nutzerdaten werden auf Oura-Servern gespeichert; je nach Produkt- und Serverarchitektur unterscheidet sich, wie leicht Regierungen oder Hacker darauf zugreifen können
  • Oura geriet nach Verträgen mit dem Department of Defense und Palantir in den sozialen Medien in die Kritik; einige Kundinnen und Kunden befürchteten, ihre Daten könnten an die Trump-Regierung gelangen
  • Oura zählt inzwischen zu den wichtigsten Herstellern von Wearables im Gesundheitstechnologie-Bereich und wird vor dem Börsengang mit mehr als 11 Milliarden US-Dollar bewertet
  • Oura hat die vertrauliche Einreichung eines Entwurfs der Registrierungserklärung für einen geplanten Börsengang bekanntgegeben, wodurch auch die Verantwortung für die Kontrolle des Zugriffs auf Nutzerdaten steigt

Keine Ende-zu-Ende-Verschlüsselung

  • Oura-Daten sind nicht Ende-zu-Ende-verschlüsselt (end-to-end encryption)
  • Die Gesundheitsdaten der Nutzerinnen und Nutzer können an bestimmten Stellen auf dem Weg vom Ring über die Smartphone-App und das Internet bis zu den Oura-Servern entschlüsselt werden
  • Oura bestätigt, dass Nutzerdaten so gespeichert werden, dass einige Mitarbeitende darauf zugreifen können
  • In einer solchen Struktur können Staatsanwälte mit Durchsuchungsbeschluss, Hacker mit kompromittierten Schlüsseln oder böswillige Insider potenziell auf die Daten zugreifen
  • Unter diesen Möglichkeiten sind staatliche Anfragen laut Oura nicht nur theoretisch, sondern kommen tatsächlich vor

Von Oura bestätigte staatliche Datenanfragen

  • Oura erklärt, von staatlichen Stellen seltene Anfragen (infrequent requests) zu erhalten
  • Jede Anfrage werde anhand der Kriterien „Rechtmäßigkeit, Umfang und Notwendigkeit“ geprüft
  • Oura gibt an, Anfragen zu widersprechen, wenn sie ungültig, zu weit gefasst oder nicht mit den Datenschutzversprechen gegenüber Mitgliedern vereinbar seien
  • Nicht veröffentlicht werden jedoch die Anzahl der Anfragen, wie oft Nutzerdaten herausgegeben werden und welche Datentypen angefragt werden
  • Zum Zeitpunkt des jüngsten Artikels hatte Oura bereits mehr als 5,5 Millionen Ringe verkauft, die Kundenbasis ist also groß

Transparenzberichte und verzögerte Offenlegung

  • Viele Tech-Unternehmen begannen nach dem NSA-Überwachungsskandal von 2013 damit, die Zahl staatlicher Anfragen halbjährlich zu erfassen und zu veröffentlichen
  • Diese Offenlegung sollte dem Verdacht begegnen, Unternehmen würden bei staatlichen Anfragen heimlich massenhaft Nutzerdaten weitergeben
  • Oura hat in der Vergangenheit keine Transparenzberichte veröffentlicht, erklärte jedoch, man prüfe aktiv Möglichkeiten, aggregierte Daten so zu teilen, dass die Sicherheit gewahrt bleibt und Mitglieder keinem Risiko ausgesetzt werden
  • Acht Monate später gibt es jedoch weiterhin weder einen Transparenzbericht noch eine Zusage zur Offenlegung der Anzahl staatlicher Anfragen
  • Auch auf eine erneute Anfrage und mehrere Follow-up-E-Mails reagierte Oura zuletzt nicht

Offenlegung als Voraussetzung für Kundenvertrauen

  • Ohne konkrete Zahlen lässt sich schwer beurteilen, wie oft Oura staatliche Datenanforderungen zurückweist oder ob das Unternehmen dies überhaupt schon getan hat
  • Wenn sensible Gesundheitsdaten auf Servern gespeichert werden und einige Mitarbeitende darauf zugreifen können, ist die Veröffentlichung von Statistiken zu staatlichen Anfragen direkt mit dem Vertrauen der Kundschaft verknüpft
  • Wenn Oura das Vertrauen seiner Kundinnen und Kunden gewinnen oder erhalten will, sollte das Unternehmen wie andere Tech-Unternehmen aggregierte Zahlen zu staatlichen Datenanfragen offenlegen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 4 시간 전
Hacker-News-Kommentare

  • In Illinois gibt es ein starkes Biometrie-Datenschutzgesetz.
    Es wirkt nicht so, als würde Oura sich besonders darum bemühen, zum Beispiel eine Polizeibehörde in Texas daran zu hindern, geschützte Daten von Einwohnern aus Illinois abzufragen.
    https://en.wikipedia.org/wiki/Biometric_Information_Privacy_...

    • Wenn die Wahrscheinlichkeit ernsthafter Konsequenzen fürs Ignorieren solcher Bestimmungen praktisch null ist, gibt es wohl auch keinen großen Grund, vorsichtig zu sein.

  • „In einem früheren Blogpost wurde darauf hingewiesen, dass Oura-Daten nicht Ende-zu-Ende-verschlüsselt sind. Das bedeutet, dass die Gesundheitsdaten von Oura-Nutzern an einem bestimmten Punkt entschlüsselt werden können, während sie vom Ring über die Handy-App durchs Internet zu den Oura-Servern gelangen.“
    Ziemlich seltsam. Klingt so, als würden Ende-zu-Ende-Verschlüsselung und Verschlüsselung während der Übertragung verwechselt.

    • So wie ich es verstehe, schließt Ende-zu-Ende-Verschlüsselung die Verschlüsselung während der Übertragung ein.
      Die Nachricht wird am Ursprungsort verschlüsselt und erst am Ziel entschlüsselt, also ist sie dazwischen überall verschlüsselt.
    • Das wirkt nicht wie eine Verwechslung. Der Autor sagt klar, dass die Daten nicht Ende-zu-Ende-verschlüsselt sind.
      Während der Übertragung scheinen sie verschlüsselt zu sein, was seit etwa 20 Jahren fast schon Standard ist. Die Erklärung, dass sie „an einem bestimmten Punkt unterwegs entschlüsselt werden“, ist für nichttechnische Leser eine völlig brauchbare Beschreibung des praktischen Unterschieds zwischen beiden Ansätzen.
    • Es klingt außerdem so, als wären sie nicht einmal im Ruhezustand verschlüsselt.
      Vielleicht wird jede einzelne Übertragungsstrecke als eigener Ende-zu-Ende-IP-Austausch betrachtet.
    • Das ist eher eine Verwechslung von Ende-zu-Ende-Verschlüsselung mit Verschlüsselung im Ruhezustand.
    • So seltsam ist das nicht, nur wird der Begriff E2EE inzwischen so inflationär verwendet, dass ihn alle unterschiedlich auslegen. Manchmal sind die Erwartungen auch schlicht unrealistisch.
      Bei Messenger-Apps mit Servern als Vermittler bedeutet E2EE, dass nur die beiden Nutzer den Inhalt sehen können und nicht die Server des vermittelnden Unternehmens. Bei Oura gibt es nur den Nutzer und die Server des Unternehmens, aber viele nehmen an, Oura könne die Daten genauso wenig lesen wie die Server von Signal oder WhatsApp wegen E2EE. Marketing lässt solche Missverständnisse meist zu oder fördert sie sogar.
      Wenn Oura allerdings E2EE behaupten würde, müsste die Verschlüsselung an der Schnittstelle zwischen Nutzer und Dienst erzwungen werden, also im Ring oder zumindest in der App, und die Daten dürften erst auf der anderen Seite, also auf den Oura-Servern, entschlüsselt werden. Wenn sie irgendwo zwischen diesen beiden Endpunkten entschlüsselt werden, ist es keine E2EE.

  • Das klingt wie jemand, der 6 Dollar im Monat zahlt, um von Bundesbehörden überwacht zu werden.

    • Wenn man sich Werbung für Mobilfunktarife ansieht, zahlen die meisten offenbar noch mehr dafür, von Bundesbehörden überwacht zu werden.
    • Noch besser ist es, 100 Dollar im Monat an Claude oder Open(Closed)AI zu zahlen und von Bundesbehörden überwacht zu werden. In manchen Fällen gibt man mit einem Max Premium-Abo sogar 200 Dollar im Monat aus.
      Aber keine Sorge, angeblich verkaufen sie Tokens mit Verlust, also sei dieser Datenverkauf nicht wichtig.
      Meine Daten, die nicht fürs Training verwendet werden, sollen also in ein Modell passen, bei dem ich bezahle, damit sie sie mir entziehen können?

  • Wenn man all das bedenkt, macht mir die automatische Inhaltserkennung (ACR) in Smart-TVs aus dem Laden noch mehr Sorgen.
    Die Nutzer merken es nicht einmal, aber der Fernseher schickt alles, was man ansieht, nach Hause.

    • Dass dir die Privatsphäre von TV-Sehdaten mehr Sorgen macht als medizinische Daten? Das wirkt wie ein seltsames Kapern eines ernsten Themas.
    • Wenn dich das stört, verbinde den Fernseher einfach nicht mit dem Internet und nutze stattdessen eine TV-Box wie Shield TV oder Apple TV.

  • Ich frage mich, was der Staat mit meinen Herzfrequenz- und Blutsauerstoffdaten überhaupt anfangen will.
    „Herr Smith ist schon wieder gelaufen, bringt ihn zum Verhör!“
    Andererseits: Wenn Behörden die Daten anfordern, nutzen sie sie offenbar für irgendetwas, nur weiß ich nicht wofür.

    • Target wurde schon 2002 berüchtigt dafür, allein anhand der Einkäufe mit einer Kundenkarte in einer einzelnen Filiale die Schwangerschaft eines Teenager-Mädchens vor ihren Eltern vorhergesagt zu haben.
      Wenn Tech-Firmen mit Venture-Investoren sprechen, heißt es: „Mit aggregierten Daten und KI können wir alle möglichen gruseligen Rückschlüsse ziehen und so die Werbeumsätze maximieren, deshalb sind wir 50-mal mehr wert als nichttechnische Firmen derselben Branche.“
      Gegenüber Kunden heißt es dann: „Wie naiv, sich um Privatsphäre zu sorgen. Was soll schon eine einzelne isolierte Variable bringen?“
    • Man kauft Herzfrequenz- und Blutsauerstoffdaten von Oura, sammelt Irisdaten bei Eyez ein, erwirbt Trainingsdaten von Borg, schaut sich Kaufmuster über Krump an, weiß über Gwimp alles, was jemand online gesagt hat, bekommt sequenzierte DNA von FamaTree und verfolgt Standortdaten über praktisch jede existierende App.
      Was soll man da schon mit dieser einen einzelnen Variable anfangen?
    • Bei Frauen kann man anhand biologischer Signale den Menstruationszyklus und ausgelassene Perioden erkennen.
    • Du warst außerhalb der USA laufen und hast danach ein Taxi gerufen? Wahrscheinlich hast du den ÖPNV verpasst. Preis erhöhen, so wie Uber früher nach dem iPhone-Akkustand ging.
      Wenn man böswillig sein will, sind die Möglichkeiten endlos.
      Bei schlechter Gesundheit könnte man die Versicherungsprämie erhöhen, und sicher noch Schlimmeres, das mir gerade nicht einfällt.
    • Er war genau zu der Zeit laufen, als die Polizei Leute verfolgte. Wir sollten ihn mitnehmen.

  • Deshalb mag ich die Apple Watch zwar nicht besonders, aber ich nutze nichts anderes.
    Gesundheitsdaten sind extrem sensibel, und Apple ist für mich das einzige Unternehmen, dem ich sie anvertrauen würde. Nicht perfekt, aber im Vergleich zu den anderen gibt es da keinen Wettbewerb.

    • Ein gutes Beispiel ist Apples neues selbst entwickeltes Mobilfunkmodem. Es bietet eine Option, dem Mobilfunkanbieter nicht den exakten Standort zu melden.
      Der beste Weg, Bundesbehörden vom Zugriff auf Kundendaten abzuhalten, ist, die Daten gar nicht erst zu sammeln.
    • Googles Health Connect teilt diese Daten ebenfalls nicht. Natürlich benötigen Drittanbieter-Apps dafür Einwilligungsabfragen.
      Eigentlich wünschte ich mir sogar etwas mehr Synchronisation. Selbst um Gesundheitsdaten zwischen zwei Geräten zu übertragen, die mit demselben Konto verbunden sind, braucht man eine Drittanbieter-App.
      Apple fällt unter dieselben Gesetze wie Oura. Für Konkurrenten gilt dasselbe.
    • Vielleicht sollte man das noch einmal überdenken.
      Apple hat dank einer hervorragenden PR- oder Propaganda-Abteilung viele Menschen glauben lassen, Apple respektiere Privatsphäre. In Wirklichkeit ist das nicht so. Vielleicht „besser“ als Google, aber nur geringfügig, und in der Praxis fast kein Unterschied.
      „Apple ergreift den beispiellosen Schritt, seinen Kunden im Vereinigten Königreich die fortschrittlichsten Datensicherheitswerkzeuge zu entziehen, nachdem die britische Regierung Zugang zu Nutzerdaten verlangt hat.“
      https://www.bbc.com/news/articles/cgj54eq4vejo
      Wenn das in Großbritannien passiert ist, dauert es in den USA vermutlich auch nicht mehr lange.
      Die USA auch: https://www.bbc.com/news/technology-36084244
      Frankreich, Deutschland, Australien, Brasilien und Japan auch: https://www.apple.com/legal/transparency/pdf/requests-2024-H...
      Russland auch: https://www.bloomberg.com/news/articles/2019-02-04/apple-fil...
      China auch: https://www.article19.org/resources/apple-cares-about-digita...
      Und noch allgemeiner: https://proton.me/blog/iphone-privacy
    • Für mich gibt es außer Apple keinen Ort, an dem ich persönliche Daten hinterlegen würde. Die Geschichte, Bundesbehörden nicht nachzugeben, war Gold wert, buchstäblich 24 Karat.
    • Apple mag im Moment ziemlich gut sein. Aber es gibt keine Garantie, dass das immer so bleibt.

  • Einen Transparenzbericht zu veröffentlichen scheint ein guter Weg zu sein, auf der Blacklist der aktuellen Regierung zu landen.
    Ich wäre überrascht, wenn tatsächlich einer veröffentlicht würde.

  • Ich verstehe wirklich nicht, warum man ein Gerät kaufen sollte, das Gesundheitsdaten sammelt und verkauft, und dann auch noch ein Abo dafür bezahlt.
    Als Gegenleistung bekommt man nur ein Dashboard mit Zahlen als Placebo.

    • Ich habe es bei Schlaflosigkeit genutzt, um meinen Schlaf zu tracken.
      Aber seit sie ein Abo dafür verlangen, ist es Elektroschrott.
    • Der Hauptgrund ist Social Media.

  • Ich hatte Oura in Erwägung gezogen, mich am Ende aber für die Apple Watch entschieden.
    Für ein besseres Gefühl habe ich auf dem verbundenen iPhone Advanced Data Protection aktiviert. Gerade im Consumer-Bereich von Aktivitätstrackern gibt es kaum große Datenunternehmen, die E2EE und einen Schutz auf dem Niveau von Zero-Knowledge-Verschlüsselung bieten.

    • Kann man Garmin nicht komplett offline nutzen?
      Soweit ich weiß, gibt es sogar Uhren ohne Funkhardware, damit sie in sensiblen Umgebungen verwendet werden können.
    • Ich habe zwischen beiden geschwankt, aber Oura hat wegen besserem Schlaf-Tracking und längerer Akkulaufzeit gewonnen.
      Ein möglicher Weg wäre, die Datensynchronisierung mit Apple Health zu aktivieren und das Oura-Konto regelmäßig zu löschen und neu anzulegen, um alte Gesundheitsdaten zu entfernen. Kein guter Workflow, aber so könnte man Oura nutzen und zugleich von den E2EE-Vorteilen von Apple Health profitieren. Natürlich setzt das voraus, dass Ouras „Konto und alle Daten löschen“ auch wirklich so funktioniert wie behauptet.

  • Ich verstehe nicht, warum diese Daten überhaupt in der Cloud gespeichert werden müssen.

    • Wie soll man sie denn sonst lesen?