Eimerweise hochsensible Daten: Schwerwiegender Leak bei LiveCam-Pornowebsites

Ein Vertriebsnetz für Porno-Websites, die sich auf kostenpflichtige Streams von Live-Kameras spezialisiert haben, hat eine riesige Sammlung mit hochsensiblen Daten der beteiligten Sexarbeiterinnen und Sexarbeitern frei im Internet zugänglich aufbewahrt. Das Affiliate-Unternehmen mit dem vielsagenden Namen "PussyCash" hat in einem offenen S3-Bucket in der Amazon-Cloud eine Sammlung persönlicher Daten samt Bildern von über 4000 Beteiligten vorgehalten. Das haben Security-Spezialisten von vpnMentor aufgedeckt.

Ausweise, Kreditkarten, Körpermaße und Piercings...

Der knapp 20 Gigabyte große Objektspeicher des Amazon-Cloud-Dienstes Simple Storage Service (S3) enthielt laut dem Bericht von vpnMentor mehr als 875.000 Dateien, darunter Videos, Marketingmaterialien, Screenshots von Videochats sowie ZIP-Archive mit gesammelten Daten zu jeweils einer dort tätigen Personen. Enthalten sind Fotos bzw. Scans von Pässen, Personalausweisen, Führerscheinen, US-Militärausweisen, Sozialversicherungsausweisen, Kreditkarten, Eheschließungs- und Geburtsurkunden – also nahezu alle Dokumente, die eine moderne bürgerliche Existenz vollständig enthüllen.

Doch damit nicht genug: Enthalten waren in dem Leak außerdem die gescannten Verträge, in denen die Frauen und Männer bei dem Affiliate-Netz als "Models" beschäftigt werden, sowie schematische Körperdarstellungen mit etwaigen Piercings, Tattoos und Narben samt Angaben zu diversen Körpermaßen. Manche der "Models" hielten ihre Ausweise auch selbst ins Bild. Betroffen sind Sexarbeiter aus zahlreichen Ländern in aller Welt. Wie vpnMentor schreibt, sind manche Daten 15 bis 20 Jahre alt, andere erst wenige Wochen. Die Inhalte stammen demnach hauptsächlich von der LiveCam-Website imlive.com, andere Daten verweisen jedoch auf den Eigentümer des S3-Bucket, das Affiliate-Unternehmen "PussyCash", das auf seiner Website selbst keine pornografischen Inhalte anbietet.

Zögerliche Reaktion

Die Security-Spezialisten fanden die offene Datensammlung am 3. Januar und informierten am folgenden Tag "PussyCash" sowie das zugehörige Unternehmen "ImLive". Da es zunächst keine Reaktion gab, setzten sie am 7. Januar Amazon in Kenntnis – am selben Tag reagierte dann auch "ImLive" und teilte mit, man werde sich um die Angelegenheit kümmern und sie an das Technikteam von "PussyCash" weiterreichen. Zwei Tage später war der S3-Bucket nicht mehr offen zugänglich. Von "PussyCash" hat vpnMentor bislang keine Antwort erhalten, auch nicht von dessen Datenschutzbeauftragtem.

Der Eigentümer beider Unternehmen hat seinen Sitz in Andorra – da dieser Staat kein EU-Mitglied ist, greift hier die EU-Datenschutzgrundverordnung nicht. Durch diese könnten Behörden derartige Datenschutzverstöße mit teils empfindlichen Geldbußen ahnden.

Im November vergangenen Jahres hatten offen zugängliche Logdateien eines spanischen Betreibers von Porno-Websites die Identität von Millionen Betrachtern und der Sexarbeiterinnen ("Camgirls") zumindest indirekt – etwa über E-Mail-Adressen oder Nutzernamen – enttarnt. Im vorliegenden Fall ist die Enthüllung der Identität jedoch total und die Auswirkungen für die Betroffenen könnten katastrophal sein; sie könnten etwa Opfer von Mobbing, Stalking oder Erpressung werden. 2015 war es im Zuge der Enthüllung von Nutzern des Seitensprung-Portals "Ashley Madison" mutmaßlich zu einem damit zusammenhängenden Selbstmord gekommen. (tiw)