Ein neuer Datenschutz-Albtraum erschüttert die LGBTQ+-Community! Mehrere Dating-Apps, die über den Apple Store vertrieben werden und sich insbesondere an LGBTQ+-Personen sowie Liebhaber von Sugar Dating und BDSM richten, sind Ziel eines massiven Datenlecks geworden. Forscher des litauischen Portals Cybernews berichteten, dass fast 1,5 Millionen private Nutzerfotos kompromittiert wurden, darunter auch intime Bilder, die Benutzer in privaten Nachrichten austauschten. Diese peinliche Offenbarung stellt die Nutzer vor große Risiken, insbesondere für diejenigen, die auf einen besonders hohen Schutz ihrer Privatsphäre angewiesen sind.

Der Entwickler der betroffenen Apps, M.A.D. Mobile Apps Developers, hat laut den Berichten geheime Informationen wie API-Schlüssel, Passwörter und Verschlüsselungskeys zusammen mit dem Quellcode veröffentlicht. Diese Informationen ermöglichten es potenziellen Angreifern, auf Systeme zuzugreifen, da Anmeldeinformationen in den Client-Anwendungen leicht zugänglich waren. Cybernews zufolge hatten die durchgesickerten Daten teils Zugriff auf Nutzerfotos in unerhört ungeschützten Google Cloud Storage-Buckets.

Zu den geleakten Bildern gehören nicht nur intime Fotos aus Direktnachrichten, sondern auch Profilbilder, öffentliche Beiträge und Bilder zur Profilverifizierung – einige sogar von Nutzern, die wegen Regelverstößen von der Plattform entfernt wurden. Besonders alarmierend ist, dass allein aus der BDSM People-App 541.000 private Bilder einsehbar waren, wobei darunter 90.000 aus privaten Chats stammten. Die Sugar-Daddy-App Chica verzeichnete 133.000 abfließende Bilder, erneut auch aus privaten Nachrichten. Insgesamt haben die drei anderen betroffenen LGBTQ+-Dating-Apps über 1,1 Millionen Bilder preisgegeben.

M.A.D. Mobile Apps Developers ist damit kein Einzelfall. Die Verbreitung hochsensibler Daten birgt erhebliche Risiken von Erpressung, Social Engineering und der Schädigung des beruflichen Ansehens der Betroffenen. Besonders gefährdet sind Nutzer in Ländern, in denen Homosexualität illegal ist, da sie durch solche Datenlecks strafrechtlich verfolgt werden könnten. Obwohl die durchgesickerten Informationen keine spezifischen Identitätsdaten wie Nutzernamen oder E-Mail-Adressen beinhalteten, können böswillige Akteure durch Techniken wie umgekehrte Bildsuche über biometrische Gesichtserkennung möglicherweise die Identität der Betroffenen ermitteln.

Das Leck wurde im Rahmen einer umfassenden Untersuchung entdeckt, bei der 156.000 iOS-Apps analysiert wurden, was etwa 8 Prozent aller im Apple Store verfügbaren Anwendungen ausmacht. Erstaunlicherweise gaben 71 Prozent der analysierten Apps „mindestens ein Geheimnis“ preis, wobei der Durchschnittscode einer App 5,2 solcher „Secrets“ enthielt. Diese alarmierenden Ergebnisse bestätigen die wiederholte Kritik der Stiftung Warentest an unzureichenden Datenschutzrichtlinien bei Dating-Apps wie Tinder, Lovoo, Parship, Lesarion und Grindr, wobei Grindr besonders stark in der Kritik steht, da das Unternehmen in Norwegen wegen der Weitergabe persönlicher Daten an Dritte mit einer Geldstrafe belegt wurde.