Sicherheitslücken

Fotos und Aufenthaltsorte von Millionen „Bumble“-Nutzerinnen gefährdet

Eine Forscherin aus den USA hat eine gravierende Sicherheitslücke in der Dating-App „Bumble“ veröffentlicht. Sensible Informationen wie sexuelle Präferenzen waren monatelang unzureichend vor Hacking-Angriffen geschützt. Wir haben mit ihr gesprochen.

Bumble hat seine Nutzer:innen bisher nicht über die Sicherheitslücke informiert. Gemeinfrei-ähnlich freigegeben durch unsplash.com john amachaab

Im März hat die IT-Analytikerin Sanjana Sarda eine Sicherheitslücke in der Dating-App „Bumble“ entdeckt und gemeldet. Trotz mehrfacher Benachrichtigung reagierte das Unternehmen erst nach acht Monaten: Mit der Bitte, keine Details an die Presse zu geben.

Sarda veröffentlichte dennoch. Von dem Datenleck betroffen sind potenziell alle Bumble-Nutzer:innen. Wie viele das in Deutschland sind, will eine Sprecherin auf Nachfrage nicht verraten. Bumble zählt zu den bekanntesten Dating-Apps und hat kürzlich die 100 Millionen Marke bei weltweiten Nutzer:innen geknackt.

Ob tatsächlich Daten abgeflossen sind, ist unbekannt. Sarda selbst sagt, sie habe keine Nutzerdaten gespeichert. Eine Sprecherin von Bumble erklärt gegenüber netzpolitik.org, dass es derzeit keine Hinweise gäbe, dass „Nutzerdaten kompromittiert“ worden seien.

Für Hacker:innen wäre es jedoch ein leichtes gewesen, mittels der Schwachstelle in der API die Identitäten aller Bumble-Nutzer:innen abzugreifen, so Sarda. Dazu gehören der Name, das Alter, das Geschlecht, der Wohnort, die sexuelle Präferenzen, alle hochgeladenen Fotos und Hobbys der rund 100 Millionen Nutzer:innen.

In vier Tagen entdeckt

Sanjana Sarda ist Sicherheitsanalytikerin im IT-Bereich. - Alle Rechte vorbehalten Shayla Look

Sarda ist Spezialistin für IT-Sicherheit. Aus purer Neugierde habe sie sich die Bumble-App im März angeschaut: „Bumble ist eine auf Frauen ausgerichtete Dating-App. Als Frau fand ich das deshalb besonders relevant.“ Ihr Arbeitgeber, Independent Security Evaluators, nutzt das als Werbung und stellt sie für solche Tätigkeiten frei.

Innerhalb von zwei Tagen habe sie entdeckt, dass die Server nur unzureichend vor unbefugter Datenabfrage geschützt seien. Weitere zwei Tage später konnte sie nachweisen, dass die Schwachstelle für fast alle Datenpunkte funktioniere.

Für Bumble wäre es unschwer möglich gewesen, diese Schwachstellen zu beheben, sagt Sarda. Es hätte bereits genügt, eine Höchstgrenze für Datenabfragen bei den Servern festzulegen. Teil des Problems war, dass die Datenabfragen unendlich lang für alle Nutzer-IDs wiederholt werden konnten.

Nach acht Monaten geschlossen

Stattdessen tat das Unternehmen acht Monate lang – zumindest nach Außen – nichts. Nachdem Sarda ihre Erkenntnisse im März geteilt hatte, erhielt sie keine Antwort, weder auf HackerOne, einer Plattform zur Koordinierung von Sicherheitslücken, noch auf anderen Kanälen. Vier Mal fragte sie nach, ohne Ergebnis.

Wenige Tage vor der geplanten Veröffentlichung im November erhielt Sarda schließlich eine E-Mail: „Bumble sei sehr daran gelegen, dass keine Details [über die Sicherheitslücke] an die Presse gelangen“, soll darin stehen. Einen Tag später habe man ihr 500 Dollar als Belohnung angeboten. Sarda hat das Geld abgelehnt.

Am selben Tag ist ein Teil der Sicherheitslücken geschlossen worden. Nach heutigem Stand ist es jedoch weiterhin möglich mittels der bekannten Schwachstelle die Fotos und sexuellen Präferenzen von Bumble-Nutzer:innen auszuspähen. Die Nutzer:innen wurden bislang nicht über den Vorgang informiert. 

Liebe hat ihren Preis

Immer wieder kommt es zu Datenlecks bei Dating-Apps. Neben Bumble waren in den letzten Jahren auch bei Tinder, Grindr, OkCupid und Lovoo Nutzerdaten in die falschen Hände geraten oder zumindest gefährdet worden.

Sogar wenn alles rund läuft und die Datensicherheit gewährleistet ist, müssen Dating-App-Nutzer:innen davon ausgehen, dass ihre Daten weiterverkauft werden. Besonders sexy ist das nicht.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

9 Ergänzungen
  1. “If you have something that you don’t want anyone to know maybe you shouldn’t be doing it in the first place”
    Eric Schmidt, ehemaliger Google Vorstand.

      1. Leute wie Herr Schmidt haben entschieden wie das Internet heute funktioniert und benutzt wird.

        Und dabei Privatsphäre, Sicherheit vor Datenverlust/Datenmissbrauch, Anonymität und ein paar andere Dinge die mit Persönlichkeitsschutzrechten zu tun haben oder gleich mal GG Artikel 1, dem Geschäftbetrieb unterzuordnen sind.

        Ich bin deswegen keineswegs erstaut über Meldungen das Apps Datenverlustig gehen.

        Der jeweiligen Betreiberin des Dienstes kann man nur bedingt vorwerfen, sie würden fahrlässig mit Daten umgehen.

    1. Dieses (widerwärtige) Zitat ist mir bekannt. Warum das hier unreflektiert unter dem Artikel abgeladen wird „weiß der Deibel“.
      Sobald man aber weiß, dass Eric Schmidt plötzlich großen Wert auf seine eigene Privatsphäre legt, und dabei so weit geht sämtlichen Reportern eines Online-Magazins komplettes Hausverbot bei Google zu erteilen, weil sie (öffentlich zugängliche!) Informationen wie Gehalt, Hobbies, Parteispenden, etc. über ihn gesammelt und veröffentlicht haben, zeigt, dass es in den Zeiten in denen wir leben eine Frage der Macht ist, wieviel Privatsphäre man sich leisten kann.
      Ich lasse dazu mal einen (englischen) Link zu einem Bericht der Electronic Frontier Foundation hier, wenn das in Ordnung ist, damit das Zitat nicht so stehen bleibt:
      https://www.eff.org/deeplinks/2009/12/google-ceo-eric-schmidt-dismisses-privacy

  2. Die Bildunterschrift:
    „Sanjana Sarda ist Sicherheitsanalysten im IT-Bereich“
    Hat einen Flüchtigkeitsfehler.
    Sicherheitsanalytikerin muss es heißen.

    Liebe Grüße

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.