Skirt Club: Datingseite ließ Nacktfotos ihrer Nutzerinnen ungeschützt

Eine fehlerhafte Htaccess-Datei führte dazu, dass private Fotos Tausender Frauen bei einem Datinganbieter für Frauen frei im Netz verfügbar waren. Der Betreiber Skirt Club hat die Webseite nach Offenlegung der Sicherheitslücke erstmal vom Netz genommen.

Artikel veröffentlicht am ,
Die Betreiber von Skirt Club haben offenbar keine Ahnung von Security.
Die Betreiber von Skirt Club haben offenbar keine Ahnung von Security. (Bild: Skirt Club)

Die Datingplattform Skirt Club hat offenbar über Monate hinweg bei der Sicherheit geschlampt. Das Portal, das private Sexparties unter Frauen vermittelt, ermöglichte Angreifern offenbar den Zugriff auf private Profilbilder der ausschließlich weiblichen Mitglieder, wie Motherboard zunächst berichtete.

Der Skirt Club existiert seit 2014, unter anderem auch in Berlin. Weltweit sollen etwa 5.000 Frauen bei dem Netzwerk angemeldet sein. Die Betreiber werben nach Angaben von Motherboard damit, dass es "Keine Konsequenzen. Keine Fragen" gebe.

Offenbar ist das Gegenteil der Fall. Nach Angaben von Vice waren die Informationen der Frauen komplett ungeschützt, auch auf die Bilder konnte ohne Passwort oder andere Zugangssperre zugegriffen werden. Aus den heruntergeladenen Bildern sollen zum Teil auch die Namen der Frauen hervorgehen. Neben den Fotos der auf Skirt Club aktiven Frauen waren offenbar auch Fotos von abgelehnten "Bewerberinnen" dabei.

Fatale Fehlkonfiguration

Das Portal machte bei der Konfiguration einen unglaublich dummen Fehler: Bei der auf Wordpress basierenden Webseite wurde offenbar die Htaccess-Datei so konfiguriert, dass jeder Nutzer Zugriff auf alle auf dem Server abgelegten Dateien bekommen konnte. Selbst bei einer Standardinstallation sind die Parameter richtig eingestellt, hier muss also jemand aktiv in die Installation eingegriffen haben.

Der Zugriff auf die Dateien war also über einen Webbrowser möglich, die Eingabe der korrekten Wordpress-Ordnerpfade auf dem Server reichte aus, um auf Fotos, Nachrichten und andere Informationen zuzugreifen.

Das Portal wusste offenbar schon länger über die Probleme Bescheid. Nach Angaben von Vice wurde es bereits im Dezember erstmals kontaktiert, reagierte aber längere Zeit nicht auf die Berichte. Zwischenzeitlich wurde Htaccess-Datei repariert, nach Angaben von Vice war aber dennoch ein Zugriff auf einige Informationen weiterhin möglich. Derzeit ist die Webseite offline.

Dass Sicherheitslücken bei Datingplattformen gravierende Folgen haben können, zeigt der Fall Ashley Madison. Nutzer der Plattform wurden auch per Brief erpresst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Adult Friend Finder
412 Millionen Accounts von Datingseite gehackt
artikel-bild
Cyno Sure Prime
Passwortcracker nehmen Troy Hunts Hashes auseinander
artikel-bild
Lovoo
Sicherheitslücke ermöglicht Erstellung von Bewegungsprofilen
Meistgelesen
artikel-bild
Automobil
Keine zwei Minuten, um einen Tesla Model 3 zu hacken
artikel-bild
Fiktive Szenarien und Stereotype
AfD nutzt KI-Fotos für propagandistische Zwecke
artikel-bild
Wenn das Smartphone streikt
Fehlersuche schwer gemacht
Kommentarübersicht
Re: Zur Kontrolle
LinuxMcBook 21. Feb 2017

In einem "Gaming" Forum soll es wohl die Bilder mal gegeben haben. Also öffentlich...

Re: Download?
ap (Golem.de) 30. Jan 2017

Wir zweifeln und schließen deshalb diesen Thread :)

Re: Fehler im Beitrag
SkalliN 30. Jan 2017

Meiner Meinung nach hat man kein Wordpres zu betreiben, wenn man sensible Daten...

Re: Fatale Fehlkonfiguration?
SkalliN 30. Jan 2017

Sorry, aber bei solchen Themen melden sich anscheinend zu oft Leute, die das...

Aktuell auf der Startseite von Golem.de
Automobil
Keine zwei Minuten, um einen Tesla Model 3 zu hacken

Bei der Hacking-Konferenz Pwn2Own 2023 hat ein Forschungsteam keine zwei Minuten benötigt, um ein Tesla Model 3 zu hacken. Das brachte dem Team jede Menge Geld und einen neuen Tesla ein.

Automobil: Keine zwei Minuten, um einen Tesla Model 3 zu hacken
Artikel
  1. Fiktive Szenarien und Stereotype: AfD nutzt KI-Fotos für propagandistische Zwecke
    Fiktive Szenarien und Stereotype
    AfD nutzt KI-Fotos für propagandistische Zwecke

    Politiker der Alternative für Deutschland (AfD) nutzen realistische KI-Bilder, um Stimmung zu machen. Die Bilder sind kaum von echten Fotos zu unterscheiden.

  2. Italien: Datenschutzbehörde untersagt Betrieb von ChatGPT
    Italien
    Datenschutzbehörde untersagt Betrieb von ChatGPT

    Dem ChatGPT-Entwickler OpenAI könnte eine Millionenstrafe drohen. Die GPDP bemängelt Probleme beim Jugend- und Datenschutz.

  3. Java 20, GPT-4, Typescript, Docker: Neue Java-Version und AI everwhere
    Java 20, GPT-4, Typescript, Docker
    Neue Java-Version und AI everwhere

    Dev-Update Oracle hat Java 20 veröffentlicht. Enthalten sind sieben JEPs aus drei Projekten. Dev-News gab es diesen Monat auch in Sachen Typescript, Docker und KI in Entwicklungsumgebungen.
    Von Dirk Koller

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial SSD 1TB/2TB bis -43% • RAM im Preisrutsch • RTX 4090 erstmals unter 1.700€ • MindStar: iPhone 14 Pro Max 1TB 1.599€ • SSDs & Festplatten bis -60% • AOC 34" UWQHD 279€ • 3 Spiele kaufen, 2 zahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /