Foto: Freepik
Über 1,5 Millionen Fotos aus intimen Dating-Plattformen waren wochenlang im Netz abrufbar – darunter Inhalte aus privaten Chats, Verifizierungsfotos und sogar bereits gelöschte Aufnahmen. Betroffen sind Apps wie BDSM People, CHICA, TRANSLOVE, PINK und BRISH, die sich vor allem an queere Nutzer*innen sowie Menschen mit Interessen wie BDSM oder Sugar-Dating richten.
Offene Cloud, offener Zugriff
Die Ursache: schlecht konfigurierte Cloud-Speicher („Buckets“) der britischen Entwicklerfirma M.A.D Mobile Apps Developers Limited, die ohne Passwortschutz öffentlich erreichbar waren. Jede*r mit dem Link hatte Zugriff – ganz ohne Login oder Berechtigung.
Die Auswertung der Sicherheitsforscher zeigt: Allein die App BDSM People machte über 540.000 Bilder zugänglich – rund 90.000 davon aus Direktnachrichten. Die App CHICA, die sich auf Sugar-Dating spezialisiert, war mit über 130.000 geleakten Dateien ebenfalls stark betroffen.
Reaktion lässt auf sich warten
Obwohl die Schwachstelle bereits im Januar 2025 gemeldet wurde, reagierte der Anbieter zunächst nicht. Erst nachdem sich Journalist*innen im März an das Unternehmen wandten, wurde der öffentliche Zugriff unterbunden. In einem Statement sprach M.A.D Mobile von einer „kontrollierten Umgebung“, in der die Lücke entdeckt und inzwischen geschlossen worden sei.
Achtung!
IT-Sicherheitsexpertinnen warnen vor möglichen Folgen: Für Nutzer*innen in Ländern mit gesetzlichen Einschränkungen gegenüber queeren Identitäten oder sexuellen Vorlieben kann ein solcher Leak ernsthafte Konsequenzen haben. Auch Personen mit öffentlicher Präsenz oder solche, die bewusst anonym bleiben möchten stellt er ein erhöhtes Risiko dar.
Der Vorfall wirft Fragen nach der Verantwortung von App-Betreibern im Umgang mit sensiblen Daten auf – besonders dort, wo es um sexuelle Identität und private Vorlieben geht. Nutzer*innen müssen darauf vertrauen können, dass ihre digitalen Räume sicher sind – ganz besonders dann, wenn sie explizit mit Intimität zu tun haben. *Quellen: Cybernews, Herald Sun, Malwarebytes, The Independent
