Die mobile Anwendung Neon, die Nutzern Geld für die Aufzeichnung ihrer Telefonate zur Schulung von KI-Modellen zahlte, wurde nach der Entdeckung einer kritischen Sicherheitslücke deaktiviert. Die Schwachstelle ermöglichte den Zugriff auf private Anrufaufzeichnungen und Transkripte anderer Nutzer, was den Dienst zu einer sofortigen Abschaltung zwang.
Obwohl die App kurzzeitig zu den beliebtesten kostenlosen Downloads im iOS App Store zählte, ist sie derzeit nicht mehr funktionsfähig. Der Vorfall wirft grundlegende Fragen zur Datensicherheit und zu den rechtlichen Risiken für Nutzer auf, die an solchen Programmen teilnehmen.
Wichtige Erkenntnisse
- Die App Neon wurde wegen einer Sicherheitslücke, die private Anrufe preisgab, vom Netz genommen.
- Nutzer wurden für Aufzeichnungen ihrer Telefonate bezahlt, die zum Training von KI-Modellen verwendet wurden.
- Der Gründer des Unternehmens bestätigte die Schwachstelle und die Server wurden umgehend abgeschaltet.
- Rechtsexperten warnen, dass Nutzer durch die Aufzeichnung von Anrufen erhebliche rechtliche Risiken eingehen könnten.
Schwerwiegende Sicherheitslücke entdeckt
Die App Neon musste ihren Dienst abrupt einstellen, nachdem das Nachrichtenportal TechCrunch eine schwerwiegende Sicherheitslücke aufgedeckt hatte. Recherchen ergaben, dass es möglich war, auf die Anrufaufzeichnungen, zugehörige Transkripte und Metadaten fremder Nutzer zuzugreifen. Dieser unbefugte Zugriff stellt eine massive Verletzung der Privatsphäre dar.
Alex Kiam, der Gründer von Neon, bestätigte die Existenz der Schwachstelle in einer E-Mail an CNET. „Wir haben die Server heruntergefahren, sobald TechCrunch uns informiert hat“, erklärte er. Die schnelle Reaktion sollte weiteren Schaden verhindern.
Kommunikation mit den Nutzern
In einer E-Mail an seine Nutzer informierte Neon über eine vorübergehende Unterbrechung des Dienstes, um „zusätzliche Sicherheitsebenen“ zu implementieren. Das Unternehmen erwähnte die Sicherheitslücke jedoch nicht explizit. Nutzern wurde mitgeteilt, dass Anrufe und Auszahlungen vorübergehend nicht möglich seien und ihr Kontostand temporär auf 0 US-Dollar stehen könnte, ihr Guthaben aber sicher sei.
Das Geschäftsmodell: Geld für Gesprächsdaten
Das Konzept von Neon war einfach und lukrativ: Nutzer wurden dafür bezahlt, ihre ausgehenden Telefonate aufzuzeichnen. Die App, die für iOS und Android verfügbar war, versprach Zahlungen von bis zu 30 US-Dollar pro Tag. Anrufe an andere Neon-Nutzer wurden mit 30 Cent pro Minute vergütet, während Anrufe an Nicht-Nutzer 15 Cent pro Minute einbrachten.
Zusätzlich bot das Unternehmen eine Prämie von 30 US-Dollar für die Anwerbung neuer Nutzer. Die Auszahlung des Guthabens war bereits ab einem Betrag von zehn Cent möglich. Dieses Anreizsystem führte dazu, dass die App im iOS App Store schnell an Popularität gewann und zeitweise den zweiten Platz der kostenlosen Apps erreichte.
Unterschiedliche Nutzererfahrungen
Während die iOS-Version von Neon sehr beliebt war, erhielt die Android-Version im Google Play Store überwiegend negative Bewertungen. Mit einer durchschnittlichen Bewertung von nur 2,4 Sternen berichteten viele Nutzer von Netzwerkfehlern und Problemen bei der Auszahlung ihrer verdienten Beträge.
Die Rolle der Daten im KI-Training
Laut den FAQ des Unternehmens wurden die gesammelten Anrufdaten anonymisiert und zur Schulung von KI-Sprachassistenten verwendet. „Dies hilft den Systemen, vielfältige, reale Sprache zu verstehen“, hieß es in der Erklärung. KI-Unternehmen haben einen enormen Bedarf an authentischen Gesprächsdaten, da diese für die Verbesserung von Sprachmodellen entscheidend sind.
„Die Branche ist hungrig nach echten Gesprächen, weil sie Timing, Füllwörter, Unterbrechungen und Emotionen erfassen, die synthetische Daten nicht abbilden. Das verbessert die Qualität von KI-Modellen“, so Zahra Timsah, CEO von i-Gentic AI.
Timsah betonte jedoch, dass dieser Bedarf Unternehmen nicht von ihrer Verantwortung in Bezug auf Datenschutz und Einwilligung entbindet. Das Sammeln solch sensibler Daten erfordert höchste Sicherheitsstandards.
Rechtliche Bedenken und Haftungsrisiken
Schon vor der Aufdeckung der Sicherheitslücke warnten Rechtsexperten vor den potenziellen juristischen Fallstricken der App. Ein zentrales Problem ist die Gesetzgebung zur Aufzeichnung von Telefongesprächen, die sich von Staat zu Staat unterscheidet. Während in einigen US-Bundesstaaten die Zustimmung einer Partei ausreicht (Ein-Parteien-Zustimmung), verlangen andere, wie Kalifornien, Florida und Maryland, die Zustimmung aller Gesprächsteilnehmer (Zwei-Parteien-Zustimmung).
Neon versuchte offenbar, diese Gesetze zu umgehen, indem es angab, nur die Seite des Anrufers aufzuzeichnen. Ob diese Methode rechtlich haltbar ist, bleibt unklar. Bei Anrufen zwischen zwei Neon-Nutzern wurde die Zustimmung vermutlich stillschweigend vorausgesetzt.
Wer trägt die Verantwortung?
David Hoppe, Gründungspartner der auf Technologierecht spezialisierten Kanzlei Gamma Law, warnte Nutzer eindringlich vor der Verwendung der App. Er stellte klar, dass die Nutzungsbedingungen einer App die gesetzlichen Bestimmungen nicht außer Kraft setzen.
„Stellen Sie sich vor, ein Nutzer in Kalifornien zeichnet ein Gespräch mit einem Freund auf, der sich ebenfalls in Kalifornien befindet, ohne ihn darüber zu informieren. Dieser Nutzer hat soeben gegen das kalifornische Strafgesetzbuch verstoßen“, erklärte Hoppe.
Die Konsequenzen könnten strafrechtliche Anklagen und zivilrechtliche Klagen sein, die zu Strafen von Tausenden von Dollar pro Vorfall führen könnten. Laut Hoppe liegt die Verantwortung letztlich beim Nutzer, da dieser die Aufzeichnung aktiv startet. Sein Rat war eindeutig: Ohne die ausdrückliche Zustimmung aller Gesprächspartner sollte die App nicht verwendet werden.
Risiko der De-Anonymisierung
Selbst wenn Daten anonymisiert werden, bestehen Risiken. Valence Howden, ein Experte für Daten-Governance, wies darauf hin, dass moderne KI-Systeme in der Lage sein könnten, Lücken in den Daten zu füllen und Rückschlüsse auf die Identität der Sprecher zu ziehen. „KI kann viel ableiten, ob richtig oder falsch, um Lücken in den erhaltenen Informationen zu füllen“, sagte er. Wenn Namen oder persönliche Informationen im Gespräch erwähnt werden, könnten direkte Verbindungen hergestellt werden.
