Datenpanne statt Liebesglück: Sicherheitslücken bei Dating-Apps!

Partner gefunden, Daten verloren?

In seiner Pressemitteilung zu den ernsten Sicherheitslücken bei Dating-Apps hat Kaspersky Labs die Ergebnisse der Überprüfung bekannt gegeben. Demnach bringt die steigende Popularität von Dating-Apps gravierende Sicherheits- und Datenschutzprobleme mit sich. Nicht zuletzt deshalb, weil die meisten Dienste viele persönliche Informationen der Nutzer verlangen.

Die Experten von Kaspersky haben in den Dating-Apps folgende Schwachstellen gefunden:

• bei 60 Prozent der Tinder-Nutzer konnten der vollständige Namen sowie weitere Konten in Sozialen Netzwerken nachvollzogen werden;
• sechs der untersuchten Apps boten Dritten die Möglichkeit, den Standort der Nutzer zu bestimmen;
• bei fünf Apps lassen sich Daten auch innerhalb der verschlüsselten Verbindung abfangen – sie sind also anfällig für Spionage oder Manipulation der Kommunikation (Man-in-the-Middle-Attacken);
• bei acht Apps war es möglich, Token-basierte Authentifizierungsmethoden zu umgehen – der Grund: mithilfe von Superuser-Rechten werden von den Apps zu viele Informationen zur Verfügung gestellt.

Dating-Apps sind nicht gegen Cyberattacken geschützt

„Unsere Analyse zeigt, dass sich Nutzer von Dating-Apps um Cybersicherheit kümmern sollten, da viele dieser Dienste nicht gegen verschiedene Arten von Angriffen geschützt sind.“, sagt Roman Unuchek, Sicherheitsexperte bei Kaspersky Lab. Durch die teils eklatanten Sicherheitslücken kommen Cyberkriminelle einfach an die vertraulichen Daten der Nutzer. Außerdem können sie die verknüpften Konten der Nutzer auf Facebook, LinkedIn oder Instagram ganz einfach ausfindig machen. Das eröffnet wiederum Möglichkeiten für Stalking, um Nutzer zu belästigen und ihre Bewegungen im wirklichen Leben zu verfolgen.

Neuregistrierung birgt das höchste Risiko

Auch die Neuregistrierung bei Dating-Apps birgt für Nutzer ein Sicherheitsrisiko. Denn diese funktioniert über eine Token-basierte Authentifizierungsmethode. Dabei wird von einem Server auf Anfrage ein sogenannter Token erstellt, um den Nutzer eindeutig zu identifizieren. Der Token verlangt in der Regel den Zugriff auf ein Facebook-Konto. Dadurch erhält eine Anwendung – zum Beispiel die Dating-App – alle notwendigen Daten, um Nutzer auf ihrem Server identifizieren zu können.

Die Analyse von Kaspersky ergab allerdings, dass Token häufig gespeichert oder unsicher verwendet und so leicht gestohlen werden können. Dadurch können Hacker ohne Anmeldedaten und Kennwörter vorübergehend Zugriff auf Nutzerkonten haben. Hinzu kommt, dass die meisten Dating-Apps den Nachrichtenverlauf im gleichen Ordner abspeichern, in dem sich auch der Token befindet. Das bedeutet, sobald der Angreifer Superuser-Rechte hat, kann er persönliche Nachrichten mitlesen! Wenn auf Handys dann auch noch veraltete Software mit bereits vorhandenen Sicherheitslücken installiert ist, können Hacker sogar auf persönliche Daten auf dem Telefon zugreifen.

Hacker hätten Zugriff auf 50 Millionen Nutzderdaten

Jetzt wären eigentlich die Anbieter solcher Apps in der Pflicht und sollten die Schwachstellen beheben. Eine Stellungnahme der überprüften Anbieter gibt es bislang noch nicht. Wenn es um den Datenschutz geht, schreibt beispielsweise Tinder lapidar in seine Datenschutzbestimmungen: „Jedoch kann kein System komplett sicher sein. Obwohl wir Schritte zum Schutz Ihrer Informationen unternehmen, versprechen wir daher nicht, dass Ihre persönlichen Informationen, Chats oder sonstige Kommunikation immer sicher bleiben werden und Sie sollten dies auch nicht erwarten.“ Dabei könnte ein groß angelegter Hackerangriff auf Tinder gravierende Folgen haben: Hacker hätten Zugang auf intimste Informationen von 50 Millionen Nutzern!

Tinder ist natürlich der Dating-App-Riese und wird bei entsprechenden Datenschutz-Desastern genügend Rücklagen haben, um eventuelle Bußgelder begleichen zu können. Trotzdem wäre der Imageschaden auch für ein solch großes Unternehmen enorm. Welche Folgen ein Hackerangriff haben kann, bekam vor einigen Jahren das Seitensprungportal Ashley Madison zu spüren, von dem Hacker 36 Millionen Datensätze klauten und das Unternehmen damit erpressten.

Wer ist schuld, wenn`s zum Datendesaster kommt?

Auch wenn in den Fällen der Dating-Apps nicht bekannt ist, wer für die Sicherheitslücken verantwortlich ist, oftmals sind es IT-Experten, die Datenbanken falsch konfigurieren oder durch versehentliche Fehler bei der Programmierung eine Sicherheitslücke verursachen und dann für die Folgen verantwortlich gemacht werden. So war es auch im Fall der Tastatur-App „ai.type“, in der ebenfalls ein massives Datenleck entdeckt wurde. Hier war es vermutlich ein IT-Experte, der die Datenbank fehlerhaft konfiguriert hatte.

Die richtige Berufshaftpflicht schützt IT-Freelancer

Wenn einem Unternehmen hohe Kosten durch eine Sicherheitslücke oder Datenrechtsverletzung entstehen und sich dann herausstellt, dass der beauftragte IT-Freelancer für diesen Schaden verantwortlich ist, wird das Unternehmen diesen von ihm zurückverlangen (im Fachjargon: in Regress nehmen). Der Schadenersatz kann dann schnell in die Hunderttausende gehen. Mit der IT-Haftpflicht über exali.de können IT-Freelancer in zweifacher Weise ruhig schlafen. Im Fall einer Schadenersatzforderung prüft die Versicherung erst einmal auf eigene Kosten, ob diese berechtigt ist. Wenn ja, übernimmt sie den entsprechenden Schadenersatz, falls die Forderung nicht berechtigt ist übernimmt der Versicherer die Abwehr der Forderung und die daraus resultierenden Rechtskosten.   

Weitere interessante Artikel:

• IT-Studien zu Cybercrime zeigen: Hier ist das Web am gefährlichsten
• ITler setzt versehentlich Schneepflug in Brand: Über 14.000 Euro Sachschaden!
• Ein Entwickler in Nöten: Datenbank komplett gelöscht!

© Ines Rietzler – exali AG