Skirt Club: Datingseite ließ Nacktfotos ihrer Nutzerinnen ungeschützt

Eine fehlerhafte Htaccess-Datei führte dazu, dass private Fotos Tausender Frauen bei einem Datinganbieter für Frauen frei im Netz verfügbar waren. Der Betreiber Skirt Club hat die Webseite nach Offenlegung der Sicherheitslücke erstmal vom Netz genommen.

Artikel veröffentlicht am ,
Die Betreiber von Skirt Club haben offenbar keine Ahnung von Security.
Die Betreiber von Skirt Club haben offenbar keine Ahnung von Security. (Bild: Skirt Club)

Die Datingplattform Skirt Club hat offenbar über Monate hinweg bei der Sicherheit geschlampt. Das Portal, das private Sexparties unter Frauen vermittelt, ermöglichte Angreifern offenbar den Zugriff auf private Profilbilder der ausschließlich weiblichen Mitglieder, wie Motherboard zunächst berichtete.

Stellenmarkt
  1. Inhouse Berater SAP (m/w/d)
    über Hays AG, Giengen an der Brenz
  2. Mitarbeiter im Service Desk (m/w/d)
    Techniklotsen GmbH, Bielefeld
Detailsuche

Der Skirt Club existiert seit 2014, unter anderem auch in Berlin. Weltweit sollen etwa 5.000 Frauen bei dem Netzwerk angemeldet sein. Die Betreiber werben nach Angaben von Motherboard damit, dass es "Keine Konsequenzen. Keine Fragen" gebe.

Offenbar ist das Gegenteil der Fall. Nach Angaben von Vice waren die Informationen der Frauen komplett ungeschützt, auch auf die Bilder konnte ohne Passwort oder andere Zugangssperre zugegriffen werden. Aus den heruntergeladenen Bildern sollen zum Teil auch die Namen der Frauen hervorgehen. Neben den Fotos der auf Skirt Club aktiven Frauen waren offenbar auch Fotos von abgelehnten "Bewerberinnen" dabei.

Fatale Fehlkonfiguration

Das Portal machte bei der Konfiguration einen unglaublich dummen Fehler: Bei der auf Wordpress basierenden Webseite wurde offenbar die Htaccess-Datei so konfiguriert, dass jeder Nutzer Zugriff auf alle auf dem Server abgelegten Dateien bekommen konnte. Selbst bei einer Standardinstallation sind die Parameter richtig eingestellt, hier muss also jemand aktiv in die Installation eingegriffen haben.

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    15.–17. März 2022, Virtuell
  2. Unity Basiswissen: virtueller Drei-Tage-Workshop
    7.–9. Februar 2022, Virtuell
Weitere IT-Trainings

Der Zugriff auf die Dateien war also über einen Webbrowser möglich, die Eingabe der korrekten Wordpress-Ordnerpfade auf dem Server reichte aus, um auf Fotos, Nachrichten und andere Informationen zuzugreifen.

Das Portal wusste offenbar schon länger über die Probleme Bescheid. Nach Angaben von Vice wurde es bereits im Dezember erstmals kontaktiert, reagierte aber längere Zeit nicht auf die Berichte. Zwischenzeitlich wurde Htaccess-Datei repariert, nach Angaben von Vice war aber dennoch ein Zugriff auf einige Informationen weiterhin möglich. Derzeit ist die Webseite offline.

Dass Sicherheitslücken bei Datingplattformen gravierende Folgen haben können, zeigt der Fall Ashley Madison. Nutzer der Plattform wurden auch per Brief erpresst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


LinuxMcBook 21. Feb 2017

In einem "Gaming" Forum soll es wohl die Bilder mal gegeben haben. Also öffentlich...

ap (Golem.de) 30. Jan 2017

Wir zweifeln und schließen deshalb diesen Thread :)

SkalliN 30. Jan 2017

Meiner Meinung nach hat man kein Wordpres zu betreiben, wenn man sensible Daten...

SkalliN 30. Jan 2017

Sorry, aber bei solchen Themen melden sich anscheinend zu oft Leute, die das...

Cok3.Zer0 29. Jan 2017

Aber es ist sehr interessant, wie das gebrandet wurde. Statt Flatratesex oder...



Aktuell auf der Startseite von Golem.de
Lego Star Wars UCS AT-AT aufgebaut
"Das ist kein Mond, das ist ein Lego-Modell"

Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
Ein Praxistest von Oliver Nickel

Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
Artikel
  1. Kryptowährung im Fall: Bitcoin legt rasante Talfahrt hin
    Kryptowährung im Fall
    Bitcoin legt rasante Talfahrt hin

    Am Samstag setzte sich der Absturz des Bitcoin fort. Ein Bitcoin ist nur noch 34.200 US-Dollar wert. Auch andere Kryptowährungen machen Verluste.

  2. eStream: Airstream-Wohnwagen mit eigenem Elektroantrieb
    eStream
    Airstream-Wohnwagen mit eigenem Elektroantrieb

    Der Wohnwagen Airstream eStream besitzt einen eigenen Elektroantrieb nebst Akku. Das entlastet das Zugfahrzeug und eröffnet weitere Möglichkeiten.

  3. Andromeda: Dieses Microsoft-Smartphone-Betriebssystem erschien nie
    Andromeda
    Dieses Microsoft-Smartphone-Betriebssystem erschien nie

    Erstmals ist ein Blick auf Andromeda möglich - das Smartphone-Betriebssystem, das Microsoft bereits vor einigen Jahren eingestellt hat.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt & Saturn: Heute alle Produkte versandkostenfrei • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 114,90€ • Alternate (u.a. DeepCool AS500 Plus 61,89€) • Acer XV282K UHD/144 Hz 724,61€ • MindStar (u.a. be quiet! Pure Power 11 CM 600W 59€) • Sony-TVs heute im Angebot [Werbung]
    •  /