Schwere Spam-Vorwürfe gegen Datingseite meetOne

Die Datingseite meetOne soll ungefragt die Smartphone-Adressbücher seiner Nutzer ausgelesen und zum Spam-Versand missbraucht haben. Dies geht Informationen aus der Mailingliste Full Disclosure hervor, die heise Security nach ersten Beobachtungen zumindest teilweise bestätigen kann.

Dem Bericht zufolge hat die iPhone-App der Datingseite ohne Rückfrage das gesamte Adressbuch des Nutzers über eine unverschlüsselte Verbindung an meetOne übertragen. heise Security konnte dies nachvollziehen: Nach dem Start der App wurden sämtliche Namen und Mail-Adressen, die auf einem iPhone gespeichert waren, an den Server iphone.meetone.com geschickt.

Dabei wurde auch ein Parameter namens "action=queueInvitations" gesendet, der schon andeutet, was den Kontakten des Flirtwilligen droht: Laut dem Bericht nutzte der Betreiber die auf diese fragwürdige Weise eingesammelten Daten, um gefälschte Benachrichtigungsmails verschicken. In den Mails behauptete meetOne unter anderem, dass der Nutzer eine Flirtmitteilung von einem anderen Nutzer erhalten hat – obwohl der gar nicht auf der Seite angemeldet ist.

Der Absender der Flirtmitteilung wurde dabei anscheinend zufällig gewählt. Woher meetOne die Mailadresse tatsächlich hatte, konnte der Empfänger nicht erkennen. In einer Fassung der Mail wurde stets behauptet, dass der Nutzer die Nachricht "aufgrund einer neuen Mitteilung von Ninja Wagner Wagner" erhielt; ganz gleich, welcher Name im Rest der Mail als Absender genannt wurde.

Auch heise Security hat zahlreiche Mails dieser Machart von meetOne erhalten. Auffällig hierbei ist, dass die Nachrichten an Adressen gingen, die nur einzelnen Personen bekannt waren. Die ersten unaufgeforderten Mails erreichten die Redaktion von heise Security Anfang November 2011 – genau zu diesem Zeitpunkt wurde die meetOne-App in den App Store aufgenommen. Ob sich meetOne auch bei den Kontakten von Android-Nutzern und webbasierten Adressbüchern (etwa Facebook oder Google-Mail) bedient hat, ist derzeit unklar.

heise Security hat den meetOne-Mitbegründer Nils Henning bereits Mitte vergangener Woche mit den Vorwürfen konfrontiert. Dieser sah sich jedoch außer Stande, die Fragen zu beantworten "So detaillierte Aussagen kann nur der Betreiber der Plattform beantworten", so Henning. Der Betreiber ist inzwischen die Meetone International LLC mit Sitz im amerikanischen Wilmington (Delaware). Die Gründerfirma meetOne GmbH übernimmt angeblich nur noch Supportaufgaben. Bei Spiegel Online finden sich weitere Informationen über die ungewöhnlichen Geschäftsbeziehungen zwischen den Unternehmen. Henning wollte die Anfrage an den "neuen" Betreiber weiterleiten, eine Antwort blieb bislang aus.

Dass die gesammelten Daten bei meetOne womöglich nicht in den allerbesten Händen sind, zeigt eine Sicherheitslücke, die heise Security Ende Juli gemeldet wurde: Durch eine spezielle API konnte jedermann auf die Daten der 900.000 registrierten Nutzer zugreifen. Neben persönlichen Daten wie Mailadressen und Klarnamen gab die API auch Klartext-Passwörter aus. Dazu musste lediglich ein URL-Parameter hochzählen. Nachdem heise Security meetOne kontaktiert hatte, wurde die Lücke umgehend geschlossen und allen Nutzern neue Passwörter zugeschickt.

Den Grund hierfür verschwieg das Unternehmen jedoch zunächst: "Um die Sicherheit von Meetone weiter zu gewährleisten und weiter zu verbessern, erneuern wir in regelmäßigen Abständen die Passwörter" hieß es in der Passwortmail. Auch in einem am gestrigen Donnerstag veröffentlichten Blog-Eintrag machte meetOne unzureichende Angaben zu dem Vorfall: "Grund hierfür war, dass die meetOne App, wie viele andere Apps am Markt, keine Verschlüsselung bei der Kommunikation zwischen App und Server genutzt hat. Auf diesen Umstand wies freundlicherweise Heise vor Veröffentlichung hin, meetOne hat binnen zwei Stunden die entsprechende Schnittstelle geschlossen." Tatsächlich kommunizierte die App zwar komplett unverschlüsselt mit dem Server. Das eigentliche Problem, dass die öffentlich zugängliche API vertrauliche Nutzerdaten samt der Klartext-Passwörter ausgegeben hat, wird in dem Beitrag jedoch nicht erwähnt.

Kein Ruhmesblatt ist auch Apples Rolle in diesem Datenschutzfiasko: heise Security liegen Auszüge aus einem Schriftwechsel mit Apple vor, laut dem der App-Store-Betreiber ebenfalls bereits seit über zwei Wochen von dem von der meetOne-App ausgehenden Datenschutzproblem weiß. Gehandelt hat Apple bislang nicht – obwohl das ungefragte Abgreifen von Adressbuchdaten eindeutig gegen das iOS Entwickler Agreement verstößt. (rei)