Mehr als 20 Millionen Dating-App-Daten frei zugänglich
Heikler geht es kaum: Rund 845 Gigabyte intime Daten von Dating-App-Nutzern standen frei zugänglich im Internet. Bei den Apps handelt es sich um spezialisierte Portale, auf denen sich beispielsweise Nutzer mit Geschlechtskrankheiten verabreden können.
Die Datensammlung beinhaltet Bilder, Profilinformationen, Chat-Verläufe, Sprachaufzeichnungen und Zahlungsvorgänge. Namen und E-Mail-Adressen waren nicht zugänglich. Mit einem Umfang von über 20 Millionen Dateien betrifft das Leck Hunderttausende, eventuell sogar Millionen Nutzer.
“Vollkommen ungesichert”
Die Sicherheitsforscher Noam Rotem und Ran Locar entdeckten die Datenschutzkatastrophe auf falsch konfigurierten Mietservern der Amazon-Tochter AWS. Sie stießen durch Zufall auf die Informationen, als sie im Netz nach IP-Blockaden suchten und fremde Systeme auf Schwachstellen überprüften. Laut den Forschern waren die Daten “vollkommen ungesichert und unverschlüsselt”; ein “Hack” oder andere Angriffe waren für den Zugriff nicht nötig. Bisher weise aber nichts darauf hin, dass auch andere auf die Daten zugegriffen haben.
Die Sicherheitsforscher benachrichtigten nach der Entdeckung den Server-Betreiber “3somes”, der ihnen prompt antwortete und die Daten absicherte. Die Informationen hätten sehr leicht beispielsweise mithilfe eines Passwortes geschützt werden können. Die Schuld läge definitiv nicht bei AWS, sondern bei 3somes.
Dreier, Herpes und behaarte Bären
Nutzerdaten von Dating-Apps sind besonders intim und teils gefährlich für die Nutzer, wenn sie veröffentlicht werden. Sie geben eventuell sexuelle Vorlieben, den Beziehungsstatus oder gar geplante Seitensprünge preis. Daher können die Nutzer leicht zur Zielscheibe von Erpressungen oder Homophobie werden. In einigen Ländern missbrauchen sogar Regierungen und Gruppierungen die Apps dazu, um Jagd auf Homosexuelle zu machen. Das Auswärtige Amt warnt beispielsweise davor, solche Apps in Ägypten zu nutzen.
Bei den betroffenen Apps wie “CougarD”, “BBW Dating”, “3somes”, “Casualx”, “SugarD” oder “Gay Daddy Bear” suchen die Nutzer nach Kontakten mit bestimmten sexuellen Vorlieben wie behaarten homosexuellen Männern oder übergewichtigen Frauen. “Herpes Dating” richtet sich an Dating-willige Nutzer mit Geschlechtskrankheiten.
Laut den Entdeckern sei eine weitere Gefahr das sogenannte Doxing. Dabei werden personenbezogene Daten zusammengetragen, um diese anschließend zu veröffentlichen und die Betroffenen bloßzustellen oder zu identifizieren. In der Vergangenheit geschah dies beispielsweise mit Pornodarstellern oder Homosexuellen.
Was Betroffene tun können
Die Forscher vermuten, dass die Apps alle von demselben Entwickler stammen und dieser die Daten in einem einzigen AWS-Account zusammengefasst hat. Die Programme weisen alle ein ähnliches Design auf und verweisen teils aufeinander. Außerdem wird bei einigen “Cheng Du New Tech Zone” als Entwickler bei Google Play angegeben.
Die Apps sind hierzulande nicht allzu populär. Viel ausrichten können die Nutzer nach dem Desaster nicht mehr, um ihre Daten zu retten. Die Forscher empfehlen in solchen Fällen den Nutzern, die App-Entwickler zu kontaktieren und nach Maßnahmen zu fragen, die zu ergreifen sind.
Alle Daten, die generell in Apps oder auf Internetplattformen hinterlegt werden, können potenziell Beute eines Angriffs werden oder – wie in diesem Fall – durch die Schusseligkeit oder Gleichgültigkeit der Betreiber in falsche Hände geraten. Alle Daten, die man in sozialen Netzwerken oder Dating-Apps hochlädt, sollte man als öffentlich zugänglich betrachten und ihre Preisgabe entsprechend überdenken. (hcz)