Die Kunden des Zürcher Taxiunternehmens Yourtaxi sind keine eitlen Menschen. Hätten sie sich mal selbst gegoogelt, wäre ihnen der Skandal längst aufgefallen.
Wer einmal eine Fahrt mit Yourtaxi unternommen hat und seinen Namen bei der Suchmaschine eintippt, findet das Fahrtenprotokoll, also wann man von wo bis wohin gefahren ist. Die Yourtaxi-Homepage spuckt die Informationen ins World Wide Web – und gibt so geheimste Daten preis.
Recherchen von SonntagsBlick zeigen: Das ist nur das kleinste Problem von Yourtaxi. Die App fürs Smartphone kommt ohne Verschlüsselung aus, obwohl dort hochsensible Daten gespeichert sind: Namen, Telefonnummern, E-Mail-Adressen, Profilfotos der Kunden. Auch Ausweise und Kontodaten der Yourtaxi-Fahrer sind dort abgelegt. Diese Informationen lassen sich sogar verändern! Und es braucht dazu keine Hacker-Fertigkeiten. Wenige IT-Handgriffe reichen, um die App zu öffnen wie eine Zuckerdose.
Yourtaxi startete im Sommer mit hohem Sympathiebonus. Gegründet hat das Unternehmen Zahangir Alam (39). Anfang 20 kam er als Flüchtling aus Bangladesch in die Schweiz. Mittlerweile hat er den roten Pass. Alams Geschäftsidee: eine App fürs Smartphone, mit der man bequem und günstig Taxifahrten bestellen kann, eine faire Alternative zum umstrittenen Taxi-Giganten Uber.
Wie bei der US-Konkurrenz sind Yourtaxi-Fahrer selbständig. Für die Vermittlung einer Taxifahrt über die App zahlen sie aber weniger Kommission als die Uber-Chauffeure. Und weil der Hauptsitz von Yourtaxi in Zürich liegt, fallen die Steuern hierzulande an. «Ich will der Schweiz etwas zurückgeben», sagte Alam beim Start seiner Firma und kündete eine baldige Expansion in weitere Regionen der Schweiz an.
Alam war ein Medien-Star
Sowohl in der Romandie als auch in der Deutschschweiz wurde über ihn berichtet. Um den Karren ins Rollen zu bringen, sitzt der Chef regelmässig selbst hinter dem Lenkrad.
Doch der Taxiunternehmer machte einen grossen Fehler: Er liess sich seine Webseite und seine App bei Moon Technolabs in der indischen Stadt Ahmedabad bauen. Einer Programmierfirma ohne Referenzen – und offensichtlich auch ohne jeglichen Sinn für Datensicherheit. Die Konsequenz: Mehrere Tausend Kunden von Yourtaxi sind nun Missbrauchsrisiken ausgesetzt. Kriminelle könnten Ausweise kopieren und Identitäten stehlen. Sie könnten feststellen, wann jemand zum Flughafen fährt – und einen Einbruch planen.
Als SonntagsBlick einige Yourtaxi-Kunden kontaktiert, fallen die aus allen Wolken. M. E. hat sich zwar registriert, ist aber nie mit Yourtaxi gefahren. Trotzdem sind seine Informationen – inklusive Profilbild – problemlos zu finden. S. G. wurde mehrmals von Chef Zahangir Alam selbst chauffiert. Er sagt: «Ich nutze die App schon länger nicht mehr. Es funktioniert einfach zu schlecht.» Auch Prominente sind unter den Opfern: zahlreiche Persönlichkeiten aus der Zürcher Geschäfts- und Showszene. Ex-Freestyle-Skifahrerin Mimi Jaeger (35) zum Beispiel: «Ich habe mich angemeldet, weil es wie eine coole Alternative zu Uber klang.» Sie werde ihr Profil sofort löschen, kündigt sie an, erlaubt SonntagsBlick aber, ihr Yourtaxi-Profilbild zu zeigen.
Auch Politiker betroffen
Auch der Zürcher FDP-Nationalrat Hans-Peter Portmann (55) hat die Yourtaxi-App heruntergeladen. Profilbild oder Kreditkarte hat er nicht hinterlegt. Trotzdem findet er: «Das ist inakzeptabel. Es gibt ein Datenschutzgesetz. Ein Verstoss dagegen ist zwar nur ein Antragsdelikt. Aber ich erwarte, dass die Staatsanwaltschaft ermittelt.» Portmann betont, dass man hart gegen den fahrlässigen Umgang mit Daten vorgehe. «Sonst breitet sich Disziplinlosigkeit aus.»
Zwei Mal konfrontiert SonntagsBlick Taxi-Alam mit den Erkenntnissen. In einer ersten Antwort schreibt er: «Unsere Applikation für das Smartphone wurde mit verschiedenen Tests bezüglich Sicherheit und Kundendaten überprüft.» Es habe keine Anzeichen dafür gegeben, dass sie Sicherheitslücken aufweise.
Wie viel Alam in die Datensicherheit investiert hat, will er nicht verraten. Als SonntagsBlick ihm detailliert darlegt, wo die Probleme liegen, kommt die knappe Antwort am Karfreitag: «Uns war das Problem bis letzte Woche nicht bekannt. Wir konnten es jedoch heute lösen.»
Noch immer eine Löcher-App
Leider stimmt das nicht! Noch immer genügt die App keinerlei Sicherheitsstandards. Um die Probleme zu beheben, hätte Yourtaxi ein Update der App durchführen müssen. Ein solches fand nicht statt. Die Löcher-App ist bei Redaktionsschluss am Samstagabend immer noch aktiv – und die Daten weiter in Gefahr.
Immerhin konnte das Problem mit den Fahrtenprotokollen gelöst werden. Sie werden nicht mehr auf Google aufgeschaltet. Nur: Die Informationen, die schon veröffentlicht sind, werden für immer im Netz bleiben. Nicht äussern will sich die indische Firma Moon Technolabs, die das Schlamassel programmiert hat.
Ob Gesetze verletzt wurden, müssen nun Juristen klären. «Gemäss Ihren Schilderungen sollen mehrere gravierende Lücken im System bestehen. Dies legt den Schluss nahe, dass die im Datenschutzgesetz geforderten Massnahmen zur Datensicherheit nicht auf dem erforderlichen technischen Stand sind», schreibt das Büro des eidgenössischen Datenschützers.
Auch der Schutz des Geschäftsgeheimnisses könnte verletzt worden sein. Sicher ist nur eines: Beim Datenschutz Abkürzungen zu nehmen, lohnt sich nicht.