calendar
« Jul12345678910111213141516171819202122232425262728293031 Sep »

MeetOne: Schwerwiegende Datenschutz-Verletzungen bei Flirtdienst von ProSiebenSat.1

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.

Der Flirtdienst meetOne hat massive Datenschutz-Probleme. Laut mehreren Berichten war die komplette Nutzer-Datenbank inklusive Passwörter öffentlich zugänglich, eine Kopie soll ebenfalls geleakt sein. Zudem scheint die iPhone-App ungefragt das komplette Telefonbuch des Geräts versenden und die Daten zum Spammen verwenden.

Seit Ende letzten Jahres hat die ProSiebenSat.1 Group über ihre Tochterfirma SevenVentures eine Beteiligung von 29 Prozent an der Flirt- und Datingplattform MeetOne.

Auf der Security-Mailingliste Full Disclosure erhebt jetzt ein Nutzer schwerwiegende Anschuldigungen gegen den Dienst.

Wie auch Fabian Scherschel auf The H Security berichtet, war die Datenbank des Dienstes inklusive Passwörtern, E-Mail-Adressen und Klarnamen im Internet ohne Authentifizierung abrufbar:

A data leak at the meetOne dating site allowed anyone to access private data including the plaintext passwords, email addresses and real names of the site’s approximately 900,000 members. To obtain the data, an attacker simply needed to increment a URL parameter.

Zwar haben die Betreiber die Lücke mittlerweile geschlossen und die Passwörter resettet. Die Forscher beklagen jedoch, dass die 900.000 User nicht über die Gründe des Passwort-Resets und die Dauer der Lücke informiert wurden. Stattdessen wurde es als “Routine-Maßnahme” dargestellt.

Die acht Millionen E-Mail-Adressen waren dabei nicht nur von den Nutzerinnen des Dienstes, sondern auch aus deren Telefonbüchern. Deren Adressen sollen von der iPhone-App ungefragt an die Server von meetOne geschickt wurden sein, so die Forscher:

A couple of API calls later, it will upload your iPhone adress book without asking the user first. Please note, that the API name does not even disguise, that the feature is used for “inviting” (=spamming) those users (session id and irrelvant information removed from the example, to shorten it). In our experience, spam mails are sent 1-2 weeks later after the information has been stolen. Users are sent an e-mail where they’re told they received a message on the site (even though they are not even registered yet at that moment) and have to register, to read the message (which is then a pretty lame “Welcome to meetOne”).

Nach Angabe der Mail wurde Apple am 19. Juli über dieses Vorgehen informiert. Am 22. Juli wird die Antwort zitiert:

Leider konnten wir anhand der sehr guten Rezessionen dieses Apps keine Auffälligkeiten feststellen.

Die App ist immer noch im iTunes App Store.

Weder meetOne noch die Datenschutz-Stelle von ProSiebenSat.1 Media haben bisher auf Anfragen von netzpolitik.org reagiert. Meetone ist als ist als Firma im US-Staat Delaware registeriert. Die einzige auffindbare Telefonnummer funktioniert nicht. In den FAQ preist man die eigene Sicherheit:

Ist es sicher, meetOne zu benutzen?
Ja. Wir verwenden ein einzigartiges Sicherheitskonzept, um unerwünschte Kontakte innerhalb der Plattform schnell zu erkennen und auszufiltern. Hierzu gehört bspw. auch die “Certified”. So können unsere Mitglieder auf ungestörte Kommunikation und ein hohes Maß an Sicherheit vertrauen.

Apple Deutschland meint jetzt immerhin, das Thema ernst zu nehmen. Die Fragen wurden in die USA weiter gegeben, bis morgen sollte eine Antwort da sein.

flattr this!

von netzpolitik.org » Datenschutz, gepostet am Mittwoch, 1. August 2012 um 17:56
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: