WELTWEIT: Sicherheitslücke - 1.5 Mio. Bilder von kinky und LGBTI+ Dating Apps waren frei zugänglich
Die Datenpanne erinnert stark an einen Fall aus dem Jahr 2015, als es Hackern gelungen war, Informationen der Dating Plattform Ashley Madison abzuzügeln. Die App wurde vor allem von verheirateten Usern genutzt, welche ihre Ehepartner:innen betrügen wollen. Im jüngsten Fall waren fünf Plattformen des Unternehmens M.A.D Mobile mit ihren insgesamt geschätzten 800’000 bis 900’000 Nutzenden betroffen. Dabei handelt es sich um insgesamt 1.5 Millionen Bilder der Kink-Plattform BDSM People und der „Sugar Daddy“-Plattform Chicas, sowie die auf LGBTI+ User ausgerichteten Plattformen mit den Namen Pink, Brish und Translove.
Die Sicherheitslücken wurden von Cybernews entdeckt, dahinter verbergen sich Hacker, welche Unternehmen zu deren Schutz diesbezüglich warnen, damit sie diese Probleme angehen können um damit Angriffen und Erpressungen vorzubeugen. Bereits im Januar hat Aras Nazarovas, einer der Ethical Hackers, die fünf betroffenen Dating Plattformen gewarnt, dass rund 1.5 Millionen private und meist explizite Nutzerfotos online frei einsehbar sind, wenn man den korrekten Link hat. So seien diese Fotos nicht einmal passwortgeschützt oder verschlüsselt auf den Servern abgelegt worden.
Da das Unternehmen auf die Warnungen nicht reagiert und keine Massnahmen umgesetzt hat, um diese Sicherheitslücke zu schliessen, ging Cybernews darauf an die Medien. Erst als die britische BBC sich beim Unternehmen gemeldet hat und nachfragte, kam Bewegung in die Angelegenheit, wie Aras Nazarovas gegenüber der BBC erklärt. In der Zwischenzeit sei das Problem behoben worden, doch das Unternehmen hat noch immer nicht erklärt, wie es überhaupt soweit kommen konnte, dass solche sensiblen Daten ungeschützt und unverschlüsselt abgespeichert wurden.
Solche Daten seien hochsensibel und würden auch ein erhebliches Risiko für die Nutzenden darstellen. So hätten Hacker die User mit solchen Bildern erpressen können, zeigt sich Aras Nazarovas überzeugt. Gerade auch für LGBTI+ User habe zudem ein zusätzliches Risiko bestanden, wenn sie beispielsweise aus Ländern stammen, welche Gesetze gegen queere Menschen kennen.
Wie Aras Nazarovas mitteilt, habe er bereits im ersten Ordner den er von der App BDSM People angeschaut habe, ein Bild eines nackten Mannes gesehen. Ihm sei sofort klar gewesen, dass so ein Bild nie öffentlich zugänglich sein sollte. Bei der weiteren Recherche habe er dann festgestellt, dass nicht nur Bilder aus Profilen so abgespeichert wurden, sondern auch Bilder, welche als private Nachrichten verschickt wurden, und sogar solche, welche von den Moderatoren der Apps eigentlich gelöscht wurden.
Die Bilder aber tatsächlich mit den Unsern in Verbindung zu bringen, wäre aber trotzdem nicht so einfach geworden, da die Bilder wenigstens ohne Text oder Benutzernamen abgespeichert wurden. Dies hätte eine Zuordnung zusätzlich erschwert, so Aras Nazarovas. Es sei aber nicht auszuschliessen, dass die Bilder bereits zuvor von einem Hacker abgezügelt wurden, also noch bevor Cybernews selber auf diese Sicherheitslücke aufmerksam wurde.