Datenleck: 845 GByte Dating-Daten ungeschützt im Netz

Sicherheitsforscher konnten auf die Nutzerdaten von mindestens acht Dating-Apps zugreifen.

Artikel veröffentlicht am ,
Intime Dating-Daten waren ungeschützt im Internet.
Intime Dating-Daten waren ungeschützt im Internet. (Bild: InspiredImages/Pixabay)

Bilder und Sprachaufnahmen mit anzüglichem Inhalt von spezialisierten Dating-Apps, beispielsweise für Menschen mit Geschlechtskrankheiten wie Herpes, konnten ungeschützt über das Internet heruntergeladen werden. Auch Profilinformationen, private Unterhaltungen, Screenshots von Chatverläufen oder Zahlungsvorgänge enthält das 845 GByte umfassende Datenleck, welches die Sicherheitsforscher Noam Rotem und Ran Locar am 24. Mai 2020 entdeckt hatten. Betroffen sind Hunderttausende, wenn nicht Millionen Nutzer von mindestens acht Dating-Apps.

Stellenmarkt
  1. Scrum Master (m/w/d)
    Vodafone GmbH, Düsseldorf
  2. IT Systemadministrator (m/w/d)
    htp GmbH, Hannover
Detailsuche

Insgesamt umfasst das Datenleck über 20 Millionen Dateien der Dating-Apps 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD und Herpes Dating, die sich teils an Menschen mit bestimmten sexuellen Vorlieben oder im Falle von Herpes Dating an Personen mit Geschlechtskrankheiten wenden.

Zwar sind laut den Sicherheitsforschern keine Namen oder E-Mail-Adressen enthalten, doch die betroffenen Personen könnten über teils enthaltene Aufnahmen ihrer Gesichter oder anhand von persönlichen und intimen Details, welche die App-Nutzenden untereinander ausgetauscht hatten, dennoch identifiziert werden.

"Wir waren erstaunt über die Größe und die Sensibilität der Daten", sagt Locar dem Magazin Wired. "Die Gefahr des Doxing, die bei dieser Art von Dingen besteht, ist sehr real - Erpressung, psychologischer Missbrauch. Als Benutzer einer dieser Apps erwartet man nicht, dass andere außerhalb der App die Daten sehen und herunterladen können." Ob die Daten bereits von anderen entdeckt und heruntergeladen wurden, wissen die Forscher nicht.

Daten waren aus ungeschützten S3 Buckets abrufbar

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  3. Einführung in die Programmierung mit Rust
    21.-25. März 2022, online
Weitere IT-Trainings

Die Daten wurden allesamt in ungesicherten Amazon S3 Buckets vorgehalten und konnten einfach heruntergeladen werden. Ihren initialen Fund meldeten die beiden Sicherheitsforscher an 3somes, das kurze Zeit später alle AWS Buckets absicherte - auch die der anderen Apps. Die Sicherheitsforscher gehen daher davon aus, dass hinter den Apps die gleiche Firma steckt. Auch die Infrastruktur und das Design der Apps sowie deren Webseiten ähneln sich erheblich und verweisen teils aufeinander.

Immer wieder finden Sicherheitsforscher Daten in ungeschützten Buckets - obwohl Amazon bei der Freigabe eines Buckets mittlerweile deutlich auf die Sicherheitsprobleme hinweist. Erst Anfang des Jahres konnten Rotem und Locar ein besonders intimes Datenleck entdecken: Die Pornoseiten Pussycash und Imlive speicherten die Daten ihrer Models in einem ungeschützten Amazon S3 Bucket - inklusive Kopien von Ausweis, Pass oder Führerschein sowie Porträtfotos.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


mtr (golem.de) 18. Jun 2020

Hallo Sybok, Danke für die Anregung. Wir haben die Formulierung in "mindestens...

Solarix 17. Jun 2020

das dachte ich mir auch im ersten Moment.

Micha_T 17. Jun 2020

Das ist doch sicher nicht dsgvo bla was auch immer. Kann da mal jemand was weiter...

chefin 17. Jun 2020

Es gibt beides, Seriöse und unseriöse Portale. So wie es ehrliche...

KingFleaswallow 16. Jun 2020

Naja, click mal auf die Quelle.... von denen willst du nicht gesehen werden!



Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

  3. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
    •  /