• IT-Karriere:
  • Services:

Skirt Club: Datingseite ließ Nacktfotos ihrer Nutzerinnen ungeschützt

Eine fehlerhafte Htaccess-Datei führte dazu, dass private Fotos Tausender Frauen bei einem Datinganbieter für Frauen frei im Netz verfügbar waren. Der Betreiber Skirt Club hat die Webseite nach Offenlegung der Sicherheitslücke erstmal vom Netz genommen.

Artikel veröffentlicht am ,
Die Betreiber von Skirt Club haben offenbar keine Ahnung von Security.
Die Betreiber von Skirt Club haben offenbar keine Ahnung von Security. (Bild: Skirt Club)

Die Datingplattform Skirt Club hat offenbar über Monate hinweg bei der Sicherheit geschlampt. Das Portal, das private Sexparties unter Frauen vermittelt, ermöglichte Angreifern offenbar den Zugriff auf private Profilbilder der ausschließlich weiblichen Mitglieder, wie Motherboard zunächst berichtete.

Stellenmarkt
  1. Institut für medizinische und pharmazeutische Prüfungsfragen, Mainz
  2. APIS Informationstechnologien GmbH, Wörth an der Donau

Der Skirt Club existiert seit 2014, unter anderem auch in Berlin. Weltweit sollen etwa 5.000 Frauen bei dem Netzwerk angemeldet sein. Die Betreiber werben nach Angaben von Motherboard damit, dass es "Keine Konsequenzen. Keine Fragen" gebe.

Offenbar ist das Gegenteil der Fall. Nach Angaben von Vice waren die Informationen der Frauen komplett ungeschützt, auch auf die Bilder konnte ohne Passwort oder andere Zugangssperre zugegriffen werden. Aus den heruntergeladenen Bildern sollen zum Teil auch die Namen der Frauen hervorgehen. Neben den Fotos der auf Skirt Club aktiven Frauen waren offenbar auch Fotos von abgelehnten "Bewerberinnen" dabei.

Fatale Fehlkonfiguration

Das Portal machte bei der Konfiguration einen unglaublich dummen Fehler: Bei der auf Wordpress basierenden Webseite wurde offenbar die Htaccess-Datei so konfiguriert, dass jeder Nutzer Zugriff auf alle auf dem Server abgelegten Dateien bekommen konnte. Selbst bei einer Standardinstallation sind die Parameter richtig eingestellt, hier muss also jemand aktiv in die Installation eingegriffen haben.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Der Zugriff auf die Dateien war also über einen Webbrowser möglich, die Eingabe der korrekten Wordpress-Ordnerpfade auf dem Server reichte aus, um auf Fotos, Nachrichten und andere Informationen zuzugreifen.

Das Portal wusste offenbar schon länger über die Probleme Bescheid. Nach Angaben von Vice wurde es bereits im Dezember erstmals kontaktiert, reagierte aber längere Zeit nicht auf die Berichte. Zwischenzeitlich wurde Htaccess-Datei repariert, nach Angaben von Vice war aber dennoch ein Zugriff auf einige Informationen weiterhin möglich. Derzeit ist die Webseite offline.

Dass Sicherheitslücken bei Datingplattformen gravierende Folgen haben können, zeigt der Fall Ashley Madison. Nutzer der Plattform wurden auch per Brief erpresst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

LinuxMcBook 21. Feb 2017

In einem "Gaming" Forum soll es wohl die Bilder mal gegeben haben. Also öffentlich...

ap (Golem.de) 30. Jan 2017

Wir zweifeln und schließen deshalb diesen Thread :)

SkalliN 30. Jan 2017

Meiner Meinung nach hat man kein Wordpres zu betreiben, wenn man sensible Daten...

SkalliN 30. Jan 2017

Sorry, aber bei solchen Themen melden sich anscheinend zu oft Leute, die das...

Cok3.Zer0 29. Jan 2017

Aber es ist sehr interessant, wie das gebrandet wurde. Statt Flatratesex oder...


Folgen Sie uns
       


Satelliteninternet Starlink ausprobiert

Trotz der schwankenden Datenrate konnten wir das Netz aus dem All problemlos für Arbeit und Freizeit nutzen.

Satelliteninternet Starlink ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /