Ein Sicherheitsversagen hat weitreichende Folgen. Über 1⸴5 Millionen intime Bilder von Nutzern verschiedener Dating-Apps waren ungeschützt im Internet zugänglich. Besonders die Communitys mit hohem Datenschutzbedarf sind betroffen – darunter LGBTQ+- und BDSM-Plattformen.
Intime Fotos öffentlich zugänglich – ein digitaler Albtraum
Dating-Apps leben vom Austausch persönlicher Nachrichten und Bildern. Oft handelt es sich dabei ebenfalls um explizite Inhalte – der Schutz dieser sensiblen Daten ist deshalb essenziell. Dennoch versagte der Datenschutz bei fünf beliebten Anwendungen. Das Resultat: ein massives Datenleck, das rund 1⸴5 Millionen private Fotos im Netz publik machte.
Cybernews-Forscher stießen auf diese Datenmenge. Intime und explizite Nutzerfotos waren offen abrufbar. Darunter fanden sich private Selfies und Nacktbilder. Das Leak betrifft mehrere Dating-Plattformen. Auch hier zeigt sich erneut gravierende Nachlässigkeit beim Umgang mit sensiblen Daten. Laut Angaben von BBC sind mittlerweile Fotos von Profilen Selfies und Nacktbilder ohne jeglichen Schutz öffentlich zugänglich.
Die Entdeckung des Leaks
Aras Nazarovas – Informationssicherheitsforscher bei Cybernews – führte gegenüber BBC aus: „Die erste App die ich untersuchte, war BDSM People. Das erste Bild im Ordner zeigte einen nackten Mann in seinen Dreißigern. Mir wurde sofort klar – dass dieser Ordner nicht öffentlich sein sollte.“ Die betroffenen Dating-Apps sind exklusiv für iOS. Android- oder Web-Alternativen existieren nicht.
Nazarovas entdeckte das Leak im Rahmen einer groß angelegten Untersuchung. Rund 156․000 iOS-Apps wurden heruntergeladen – dies entspricht etwa 8% aller Apps im Apple Store. Diese Untersuchung offenbarte, dass App-Entwickler Anmeldedaten im Klartext im Code hinterließen. Jedermann konnte auf diese zugreifen.
Gefährdung durch Erpressung
Selbst wenn die geleakten Dateien keine Klarnamen oder Benutzernamen enthielten, steckt ein enormes Risiko dahinter. Laut Nazarovas könnten die Bilder leicht zur Erpressung genutzt werden. Trotz nachträglicher Sicherung bleibt das Risiko bestehen – Dritte könnten die Daten bereits kopiert und gespeichert haben. Besonders prekär ist die Situation für Personen die durch Outing gefährdet sind. Datenschutzexperten werfen dem Entwickler daher Fahrlässigkeit vor.
Die entdeckten Bilder stammen aus iOS-Versionen folgender Dating-Apps: BDSM People, Chica, Translove, Pink und Brish. Der Grund für das Leak sind falsch konfigurierte Google Cloud Storage-Buckets. Diese waren ohne Passwortschutz öffentlich zugänglich.
Nutzer und betroffene Apps
Die betroffenen Apps stammen von M.A.D Mobile – einem Entwickler der sich auf bestimmte Zielgruppen in Dating-Communities spezialisiert hat. Schätzungen gehen davon aus, dass zwischen 800․000 und 900․000 Personen die betroffenen Apps nutzen. Die Verteilung der geleakten Bilder zeigt folgendes Bild:
- Translove, Pink, Brish: etwa 1⸴1 Millionen Bilder
- BDSM People: ungefähr 541․000 Bilder
- Chica: circa 133․000 Bilder
Reaktionen und Verantwortung
Cybernews kontaktierte umgehend MAD Mobile sobald das Leak entdeckt wurde bereits im Januar. Das Unternehmen reagierte jedoch erst nach der Veröffentlichung des Artikels im April. Der Unternehmenssprecher betonte: „Auch wenn es zu keinem tatsächlichen Datenleck gekommen ist, entbindet uns das nicht von der Verantwortung. Im Gegenteil, es hat uns motiviert, unsere Sicherheitsmaßnahmen zu verstärken.“
Kommentare
: Datenschutz ein Fremdwort
Der Vorfall rund um M.A.D Mobile verdeutlicht, ebenso wie wichtig ein verantwortungsvoller Umgang mit Nutzerdaten ist. Für viele Menschen repräsentieren Dating-Apps weiterhin als nur Unterhaltung – sie sind ein Ausdruck ihrer Identität. Entwickler sollten deshalb nicht nur auf Features allerdings ebenfalls auf Datensicherheit und Transparenz setzen. In der Dating-Branche scheint Datenschutz oft eine untergeordnete Rolle zu spielen – mit potenziell katastrophalen Folgen für die Betroffenen.