Datenschutz Mega-GAU: Foursquare versendet ungefragt E-Mail-Adressen und Telefonnummern

Nach dem großen Datenschutz-GAU bei Path werden nun auch bei Foursquare ungefragt E-Mail-Adressen und Telefonnummern hochgeladen. Dies geschieht, wenn man über das iPhone ein neues Konto anlegt und betrifft zumindest die aktuelle Version. Ob die Daten möglicherweise auch in vorigen Versionen verschickt wurden ist unklar.

English summary: see below.

UPDATE: Ich habe dazu auch eine datenschutzrechtliche Einstufen geschrieben. Siehe auch meinen Debattenbeitrag „Was interessieren mich die Daten meiner Freunde? – Die Post-Privacy-Kollateralschäden„.

Ich habe über einen SSL-Proxy den Datenverkehr bei einer Neuanmeldung mitgeschnitten, nachdem ich diesen Tweet gelesen habe.

Folgende Daten werden im ersten Schritt an die Foursquare-Server geschickt. Sie enthalten die Anmeldedaten und sind für die Registrierung notwendig.

Nach der Anmeldung werden weitere Daten an den Server geschickt, ohne, dass der Nutzer gefragt wird oder ein Hinweis erscheint. Die Daten enthalten die Telefonnummern und E-Mail-Adressen (URL-kodiert):

Weiter unten sieht das Paket so aus:

Dies ist die Serverantwort. Per JSON werden Daten zurückgesendet, welche E-Mail-Adressen oder Telefonnummern einem Foursquare-Konto zugeordnet sind:


Apple muss unbedingt eine Abfrage einbauen, bevor Apps auf das Adressbuch zugreifen können.

UPDATE: Ich habe dazu auch eine datenschutzrechtliche Einstufen geschrieben. Siehe auch meinen Debattenbeitrag „Was interessieren mich die Daten meiner Freunde? – Die Post-Privacy-Kollateralschäden„.

UPDATE II: Apple hat bereits reagiert.

English summary: The foursquare iPhone App (current version) sends e-mail addresses and phone numbers, stored in the iPhone addressbook, to foursquare.com. This happens after you have registered a new account. There is no message dialog and you are not able to stop that process. After reading this tweet, I’ve set up an ssl proxy on my MacBook Pro and you can find some sceenshots above. The first one shows the data packages needed to submit the new registration. Subsequently, the app sends additional data packages (HTTP POST over SSL) containing phone numbers (see screenshot #2) and e-mail data (#3). The response (#4) contains information whether an e-mail address or a phone number belongs to an existing foursquare user or is „unmatched“. Apple has to revise their privacy requirements for app developers (you should see a confirmation dialog before an app can access your address book)!