MeetOne: Schwerwiegende Datenschutz-Verletzungen bei Flirtdienst von ProSiebenSat.1

Der Flirtdienst meetOne hat massive Datenschutz-Probleme. Laut mehreren Berichten war die komplette Nutzer-Datenbank inklusive Passwörter öffentlich zugänglich, eine Kopie soll ebenfalls geleakt sein. Zudem scheint die iPhone-App ungefragt das komplette Telefonbuch des Geräts versenden und die Daten zum Spammen verwenden.

Seit Ende letzten Jahres hat die ProSiebenSat.1 Group über ihre Tochterfirma SevenVentures eine Beteiligung von 29 Prozent an der Flirt- und Datingplattform MeetOne.

Auf der Security-Mailingliste Full Disclosure erhebt jetzt ein Nutzer schwerwiegende Anschuldigungen gegen den Dienst.

Wie auch Fabian Scherschel auf The H Security berichtet, war die Datenbank des Dienstes inklusive Passwörtern, E-Mail-Adressen und Klarnamen im Internet ohne Authentifizierung abrufbar:

A data leak at the meetOne dating site allowed anyone to access private data including the plaintext passwords, email addresses and real names of the site’s approximately 900,000 members. To obtain the data, an attacker simply needed to increment a URL parameter.

Zwar haben die Betreiber die Lücke mittlerweile geschlossen und die Passwörter resettet. Die Forscher beklagen jedoch, dass die 900.000 User nicht über die Gründe des Passwort-Resets und die Dauer der Lücke informiert wurden. Stattdessen wurde es als „Routine-Maßnahme“ dargestellt.

Die acht Millionen E-Mail-Adressen waren dabei nicht nur von den Nutzerinnen des Dienstes, sondern auch aus deren Telefonbüchern. Deren Adressen sollen von der iPhone-App ungefragt an die Server von meetOne geschickt wurden sein, so die Forscher:

A couple of API calls later, it will upload your iPhone adress book without asking the user first. Please note, that the API name does not even disguise, that the feature is used for „inviting“ (=spamming) those users (session id and irrelvant information removed from the example, to shorten it). In our experience, spam mails are sent 1-2 weeks later after the information has been stolen. Users are sent an e-mail where they’re told they received a message on the site (even though they are not even registered yet at that moment) and have to register, to read the message (which is then a pretty lame „Welcome to meetOne“).

Nach Angabe der Mail wurde Apple am 19. Juli über dieses Vorgehen informiert. Am 22. Juli wird die Antwort zitiert:

Leider konnten wir anhand der sehr guten Rezessionen dieses Apps keine Auffälligkeiten feststellen.

Die App ist immer noch im iTunes App Store.

Weder meetOne noch die Datenschutz-Stelle von ProSiebenSat.1 Media haben bisher auf Anfragen von netzpolitik.org reagiert. Meetone ist als Firma im US-Staat Delaware registeriert. Die einzige auffindbare Telefonnummer funktioniert nicht. In den FAQ preist man die eigene Sicherheit:

Ist es sicher, meetOne zu benutzen?
Ja. Wir verwenden ein einzigartiges Sicherheitskonzept, um unerwünschte Kontakte innerhalb der Plattform schnell zu erkennen und auszufiltern. Hierzu gehört bspw. auch die „Certified“. So können unsere Mitglieder auf ungestörte Kommunikation und ein hohes Maß an Sicherheit vertrauen.

Apple Deutschland meint jetzt immerhin, das Thema ernst zu nehmen. Die Fragen wurden in die USA weiter gegeben, bis morgen sollte eine Antwort da sein.

24 Ergänzungen

  1. Die Sicherheit in derartigen Portalen ist derart schlecht, das es einem gerade hochkommt.
    Für viele Portale, selbst manche E-Mail Hoster, gibt es sogar für Leien,
    direkte Anleitungen wie man sich reinhacken kann.

  2. Hm… Kann nur ich den Artikel nicht flattern?
    Einloggen per Twitter funtzt nicht, kann natürlich auch an mir oder Twitter liegen ;)

    1. Ich bin direkt mit flattr eingeloggt, da geht das. Vielleicht einmal flattr.com aufmachen und dort per Twitter anmelden, und dann noch einmal testen?

      1. Auf den Gedanken bin ich wohl schon gekommen ;)
        Vielleicht hat die Twitter API (mal wieder) ne Hängung …

        Versuchs später wieder :)

  3. Da wird also ein schlampig abgesicherter Datenschnorchler mit der Hand in der Keksdose erwischt, anschließend noch als Spammer identifiziert und Apple bügelt das Ganze mit einer einzeiligen, unpassenden Textbaustein-Antwort ab. Soll noch mal einer behaupten, die Sicherheitsstandards in Apples App-Store wären höher als bei der Konkurrenz.

  4. Was regt ihr euch denn so auf? Es stimmt doch: Die haben ein einzigartiges Sicherheitskonzept. Was kann MeetOne dafür, wenn wir mit „Einzigartig“ den Begriff „gut“ gleichsetzen?

  5. Wem mit Strahlenquellen freiwillig das Gehirn gegrillt wird kann doch seine Privatsphäre doch schon mal längst egal sein. Wer freiwillig sogenannte soziale Netzwerke nutz ist meiner Meinung nach selber schuld.

    1. Aber seit Denver sollte doch klar sein dass du „Auffällig“ bist und genauer von den Behörden unter die Lupe genommen gehörst wenn du keinem der „sozialen“ Netzwerke angehörst.

  6. „Meetone ist als [ist als] Firma im US-Staat Delaware registeriert.“ Sieht zwar nett aus, ist aber trotzdem zu viel an der Stelle.

  7. Hat jemand mal mitgezählt, die wievielte App nun dererlei Praktiken verwendet? Hätte damals nicht gedacht, daß es mal so einen Datenwahn gibt.

  8. Sowas wird’s wohl leider immer wieder geben… aber immerhin kann ja jeder selbst entscheiden, wo er sich anmeldet und welche Daten er angibt, nicht wahr? ;-) LG

  9. Vielleicht noch ergänzend dazu:

    Wer einen Account bei aka-aki.com hat, hat eine E-Mail von meetOne bekommen mit der Bitte/Aufforderung, sein Profil von aka-aki nach meetOne zu konvertieren, da aka-aki die Pforten dicht macht und die Daten dann verloren gehen würden.

    Das erscheint mir ziemlich absurd, da die Konzepte der beiden Plattformen nicht übereinstimmen. Das eine ist eine „Flirt-Plattform“ und das andere eine ortsbezogene Community, die mehr mit Facebook vergleichbar wäre, als mit einer Flirt-/Datingplattform.

      1. Ach so: Ich hatte nie einen Account bei Aka-aki … Das zu dem Punkt „da steckt wohl mehr dahinter“. Das könnte auch einfach ein Spam von meetone gewesen sein, den man als Mail von Aka-aki ausgegeben hat …

      2. Schau mal links auf der Webseite von aka-aki. Die bewerben das tatsächlich auch so:

        „Aus schlechten Nachrichten werden gute: Für Aka-Aki-Mitglieder geht‘s bei meetOne weiter
        Vor einigen Wochen wurde es bereits angekündigt – aka-aki gibt es leider bald nicht mehr. Die gute Nachricht: Die Profile können weiter genutzt werden!“

  10. Tja, da die vormals (rein) deutsche Unternehmung mittlerweile jetzt in den USA sitzt, dürfte wohl nichts weiter passieren, denn in USofA wird sowas auf die leichte Schulter genommen…

    1. Das Unternehmen hat durchaus noch einen deutschen Unternehmenssitz in Hamburg. Wir werden sehen, ob ein Briefkasten in den USA vor Untersuchungen schützt…

  11. Es schreibe mal jmd. eine Beschwerde an die Federal Trade Commission. Zwar stimmt es, dass die US-Standards generell eher niedrig sind, Täuschungen bei der Verwendung von Daten werden aber extrem ernst genommen, und die FTC hat einen Datenschutz-Chef, der für die Verfolgung solcher Verstöße zuständig ist. Was ist die Masche von MeetOne, die Daten aus dem Adressbuch für Fake-Email-Benachrichtigungen zu nutzen, denn anderes als Täuschung?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.