Sicherheitslücke: Dating-App Lovoo gibt Standortdaten preis

Bei Lovoo, einer der größten Datingplattformen in Deutschland, gibt es schon wieder Ärger. Diesmal lassen sich die Standorte der Nutzer auslesen.

Lovoo legt die Standortdaten bis auf 30 Meter offen, wenn die Radar-Funktion angeschaltet ist. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com Thor Alvis

Die Dating-App Lovoo hat ein Sicherheitsproblem: Dem Bayerischen Rundfunk (BR) ist es gelungen, Nutzer:innen der App auf etwa 30-50 Meter genau zu orten. Dafür zeichnete der BR die Standortdaten für mehrere Tage auf und wertete diese aus.

„Mit diesen Standortdaten ist es möglich, Bewegungsprofile zu erstellen und Rückschlüsse auf Wohn- und Arbeitsorte zu ziehen“, schreibt der BR in seinem Artikel. Kombiniert werden könne der Standortverlauf laut BR außerdem mit weiteren Profilinformationen wie der sexuellen Orientierung oder den hinterlegten Bildern.

Die Sicherheitslücke ist durch das sogenannte „Radar“ der App möglich. Mit diesem Radar können sich Nutzer anderen Nutzerinnen auf etwa 100 Meter genau anzeigen lassen. Nimmt man nun drei Geräte und macht eine Trilateration, kann man den Standort deutlich genauer herausfinden. Dieses Verfahren nutzte der BR in seiner Recherche in München.

Wohnorte und Arbeitsorte sichtbar

Er setzte neun Messpunkte in der Stadt fest. Über die Schnittstelle (API) konnte er so in diesem Bereich regelmäßig Daten wie Alter, Geschlecht, Profilbild und den Standort, an dem die App das letzte Mal geöffnet wurde, abgreifen. Über derartige Standortdaten lässt sich auf Wohnort und Arbeitsorte schließen.

Lovoo sagt gegenüber dem BR, dass es „eine Vielzahl von technischen und organisatorischen Maßnahmen“ einsetze um die Daten der Nutzer zu schützen. So benutze man ausschließlich ungenaue Koordinaten und Distanzen. Dennoch sind die Distanzen so genau, dass man Personen orten kann. Im Gegensatz zu Lovoo’s 100-Meter-Schtitten nutzt beispielsweise Tinder 1000-Meter-Schritte.

Dating-App mit Skandalgeschichte

Im Jahr 2015 kam heraus, dass Lovoo mit Fake-Profilen seine Nutzer:innen bei Laune hielt. Das Verfahren gegen die Geschäftsführer wurde damals gegen Zahlung von 1,2 Millionen Euro eingestellt. Schon im Jahr 2016 gelang es Golem.de, Standortdaten von Nutzer:innen der App zu erfassen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

3 Ergänzungen

  1. “If you have something that you don’t want anyone to know maybe you shouldn’t be doing it in the first place.” – Eric Schmidt – Google CEO 2009.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.