Eine Sicherheitslücke in der Dreier-Dating-App 3Fun hat dazu geführt, dass die Daten von 1,5 Millionen Nutzern ausgelesen werden konnten. Sicherheitsforscher konnten darüber sensible Nutzerdaten abrufen. Sie sprechen von "der miserabelsten Sicherheit", die sie jemals bei einer Dating-App gesehen haben.

Fotos, Chats, Standortdaten

3Fun will Paare mit Personen für "Dreier" zusammenführen. Dazu versprechen die Betreiber einen "privaten Raum" und ein "Feld, um deine Sexualität zu entdecken". Doch was die Sicherheitsexperten von Pen Test Partners herausgefunden haben, dürfte alles andere als privat sein. Denn über eine Sicherheitslücke konnten die Forscher persönliche Angaben zu den Nutzern, sexuelle Präferenzen, Chatverlaufe, Fotos und nahezu Standorte nahezu in Echtzeit sämtlicher 1,5 Millionen Nutzer einsehen. "Wie viele Beziehungen oder Karrieren könnten zu Ende sein, wenn diese Daten an die Öffentlichkeit gelangen?", schreibt Alex Lomas von Pen Test Partner in einem Blogeintrag.

Die Forscher konnten exakte Standortangaben mit Längen- und Breitengraden der einzelnen Nutzer abrufen. Dadurch lassen sich Personen bzw. deren Smartphones bis auf die Adresse genau orten. So konnten die Sicherheitsforscher etwa auch Nutzer orten, die sich angeblich im Weißen Haus in Washington befinden sollen. Nutzer könnten die Einstellungen in der App diesbezüglich zwar auf privat setzen. Allerdings seien die Angaben dann nur im Interface der App ausgeblendet worden und würden auf den Servern dennoch gespeichert, so Pen Testing Partners.

Die Daten waren demnach auch nicht verschlüsselt. Inzwischen ist die Sicherheitslücke behoben – zwei Wochen, nachdem sie 3Fun gemeldet wurde. (red, 9.8.2019)