Symbolbild: Sicherheitslücke bei Dating-Apps – sensible Nutzerdaten wie private Fotos sind durch ungeschützte Cloud-Speicher öffentlich einsehbar geworden.
Symbolbild: Sicherheitslücke bei Dating-Apps – sensible Nutzerdaten wie private Fotos sind durch ungeschützte Cloud-Speicher öffentlich einsehbar geworden.
Bildquelle: DALL·E

Mega-Datenleck bei Dating-Apps: 1,5 Mio. intime Fotos im Netz veröffentlicht

Ein Mega-Datenleck bei Dating-Apps legt offen, wie sorglos viele Anbieter mit sensiblen Nutzerdaten umgehen.

Ein Sicherheitsversagen mit weitreichenden Folgen: Ein Mega-Datenleck mit über 1,5 Millionen intimen Bildern von Nutzerinnen und Nutzern verschiedener Dating-Apps waren ungeschützt im Netz einsehbar. Besonders betroffen sind Communitys, für die gerade Datenschutz besonders wichtig ist – darunter LGBTQ+- und BDSM-Plattformen.

Mega-Datenleck bei Dating-Apps: Intime Fotos öffentlich zugänglich – ein digitaler Albtraum

Dating-Apps leben vom Austausch persönlicher Nachrichten und Bilder – oftmals auch expliziter Inhalte. Gerade deshalb ist der Schutz dieser sensiblen Daten essenziell. Doch genau hier versagte der Datenschutz bei fünf populären Anwendungen. Die Folge: ein massives Datenleck, das rund 1,5 Millionen private Fotos ins Internet leakte.

Cybernews-Forscher haben über 1,5 Millionen intime und explizite Nutzerfotos entdeckt, die ungeschützt im Netz zugänglich waren. Darunter auch private Selfies und Nacktbilder. Der Leak betrifft gleich mehrere Dating-Plattformen und offenbart erneut gravierende Mängel im Umgang mit sensiblen Daten. Laut BBC sind Fotos von Profilen, Selfies und sogar Nacktbilder öffentlich im Netz abrufbar, ohne jeglichen Schutz oder Authentifizierung. Gegenüber der BBC führte Aras Nazarovas, Informationssicherheitsforscher bei Cybernews, aus:

„Die erste App, die ich untersuchte, war BDSM People, und das erste Bild im Ordner zeigte einen nackten Mann in seinen Dreißigern. Als ich es sah, wurde mir sofort klar, dass dieser Ordner nicht öffentlich sein sollte.“

Die betroffenen Dating-Apps gibt es exklusiv für iOS und haben keine Android- oder Web-Alternativen. Nach Informationen von Cybernews entdeckte Nazarovas den Leak im Zuge einer von den Sicherheitsforschern groß angelegten Untersuchung:

„Unsere Forscher luden 156.000 iOS-Apps herunter, etwa 8 % aller Apps im Apple Store. Sie entdeckten, dass App-Entwickler Anmeldedaten im Klartext im Code der Anwendung hinterlassen, die für jeden zugänglich sind.die Apps exklusiv für iOS und haben keine Android- oder Web-Alternativen.“

Die offen zugänglichen Inhalte umfassten dabei Direktnachrichten mit Bildanhang, Profil- und Verifizierungsfotos, Bilder, die wegen Regelverstößen entfernt wurden sowie öffentliche Beiträge.

Gefährdung durch Erpressung

Zwar enthielten die geleakten Dateien keine Klarnamen oder Benutzernamen, dennoch bergen die Fotos ein enormes Risiko. Laut Aras Nazarovas könnten die Bilder leicht zur Erpressung genutzt werden. Trotz nachträglicher Sicherung besteht weiterhin das Risiko, dass Dritte die Daten bereits kopiert und gespeichert haben. Besonders prekär ist die Situation für Personen, die durch Outing gefährdet sein könnten. Datenschutzexperten werfen dem Entwickler deshalb grobe Fahrlässigkeit vor.

Die entdeckten Bilder stammten aus den iOS-Versionen folgender Dating-Apps für LGBTQ+-, BDSM- und Sugar-Daddy-Communitys BDSM People, Chica, Translove, Pink und Brish. Die Ursache: falsch konfigurierte Google Cloud Storage-Buckets, die ohne Passwortschutz öffentlich zugänglich waren.

Rund 900.000 Nutzer betroffen

Die betroffenen Apps stammen vom Entwickler M.A.D Mobile, der sich auf Dating-Communities mit besonderen Zielgruppen spezialisiert hat. Schätzungen zufolge nutzen zwischen 800.000 und 900.000 Personen die betroffenen Apps. Die Verteilung der geleakten Bilder im Detail:

  • Translove, Pink, Brish: rund 1,1 Millionen Bilder
  • BDSM People: etwa 541.000 Bilder
  • Chica: ca. 133.000 Bilder
Mega-Datenleck bei Dating-Apps: 1,5 Mio. intime Fotos im Netz veröffentlicht, Quelle: Cybernews
Mega-Datenleck bei Dating-Apps: 1,5 Mio. intime Fotos im Netz veröffentlicht, Quelle: Cybernews

Cybernews kontaktierte MAD Mobile Apps Developers Limited umgehend, also bereits im Januar, als Sicherheitsforscher Aras Nazarovas die Schwachstelle entdeckte. Das Unternehmen reagierte jedoch erst nach Veröffentlichung ihres Artikels, Anfang April. Es bekräftigte, dass die betroffene Instanz nicht mehr offengelegt sei. Der Unternehmenssprecher betonte:

„Auch wenn es zu keinem tatsächlichen Datenleck gekommen ist, entbindet uns dies nicht von der Verantwortung. Im Gegenteil, es hat uns motiviert, unsere Sicherheitsmaßnahmen weiter zu verstärken. Wir entschuldigen uns bei unseren Benutzern für etwaige durch den Artikel verursachte Bedenken und hoffen, dass andere Entwickler dieses Problem ernst nehmen werden.“

Fazit: Datenschutz weiterhin ein Fremdwort bei vielen Dating-Apps

Der Vorfall rund um M.A.D Mobile zeigt erneut, wie wichtig verantwortungsvoller Umgang mit Nutzerdaten ist. Für viele Menschen sind Dating-Apps mehr als Unterhaltung – sie sind Ausdruck der eigenen Identität. Umso dringlicher ist es, dass Entwickler nicht nur auf Features setzen, sondern vor allem auf Datensicherheit und Transparenz. Besonders in der Dating-Branche scheint Datenschutz oft Nebensache zu sein – mit potenziell katastrophalen Folgen für die Betroffenen.

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.