Sicherheitslücke in fünf Dating-Portalen offenbart persönliche Fotos von 1,5 Millionen Nutzern
Forscher haben eine schwerwiegende Sicherheitslücke in fünf von M.A.D Mobile entwickelten Dating-Seiten entdeckt, darunter die BDSM-Seiten BDSM People und Chica sowie die LGBT-Apps Pink, Brish und Translove. Infolge des Lecks wurden rund 1,5 Millionen persönliche Fotos von Nutzern, darunter auch explizite Bilder, ohne Passwortschutz online zugänglich gemacht. Unter den durchgesickerten Daten befanden sich nicht nur Fotos aus Profilen, sondern auch Bilder, die in privaten Nachrichten verschickt wurden, sowie solche, die von Moderatoren gelöscht worden waren.
Was bekannt ist
Der ethische Hacker Aras Nazarovas von Cybernews meldete das Problem als Erster, nachdem er den Ort des von den Apps verwendeten Online-Speichers entdeckt hatte. Trotz der Warnung ergriff M.A.D Mobile keine Maßnahmen, bis die BBC sie kontaktierte. Die Schwachstelle wurde inzwischen behoben, aber es ist nach wie vor unbekannt, wie lange die Daten öffentlich zugänglich waren und wer sie möglicherweise genutzt hat.
Obwohl Textnachrichten nicht betroffen waren, stellen die durchgesickerten Fotos ein Risiko für die Nutzer dar, insbesondere in Ländern, in denen Homosexualität illegal ist. Die Forscher betonen, dass das Leck für Erpressung, Social Engineering und andere bösartige Aktivitäten genutzt werden könnte. M.A.D Mobile bedankte sich für die Erkennung des Problems, machte aber keine Angaben zu den Gründen für das Leck.
