Logdatei-Leak: Spanische Pornowebsites enttarnen Betrachter und Sexarbeiterinnen
Ein spanischer Betreiber von Pornoseiten hat massenhaft Logdaten in einer offenen Datenbank vorgehalten. Nutzer und 'Camgirls' lassen sich damit identifizieren.
Die spanische Porno-Website amateur.tv bietet vor allem Videos von sogenannten "Camgirls"
Mehrere vornehmlich in Spanien beliebte Porno-Websites haben durch eine offen im Internet zugängliche Datenbank mit den Inhalten von Logdateien hochsensible Informationen über die Betrachter der Videos enthüllt, aber auch über die Sexarbeiterinnen, die für das Angebot an Inhalten sorgen. Die Datenbank war über mehrere Wochen erreichbar. Das hat das Online-Magazin Techcrunch enthüllt.
Datenbank mit Logdaten ohne Passwort zugänglich
Betreiber der Websites ist das in Barcelona ansässige Unternehmen VTS Media, unter den betroffenen URLs sind 'sprechende' Bezeichnungen wie webcampornoxxx.net und placercams.com sowie die Website amateur.tv, die laut dem Techcrunch-Bericht in Traffic-Statistiken eine der beliebtesten in Spanien ist. Allerdings fanden sich auch zahlreiche Nutzer aus anderen europäischen Ländern in der Datenbank. Die pornografischen Inhalte liefern zumeist Frauen, die sich selbst per Webcam filmen sowie mit Kunden chatten und daher auch als "camgirls" bezeichnet werden.
IT-Security-Spezialisten des Unternehmens Condition:Black entdeckten eine Back-end-Datenbank, die frei und ohne Passwort im Internet zugänglich war. Sie enthielt die aus Logdateien stammenden Daten über die Aktivitäten auf den Websites über einen Zeitraum von mehreren Monaten. Aufgeführt waren unter anderem Anmeldungen samt Nutzernamen, teilweise mit Useragent-Information und IP-Adresse, private Chat-Nachrichten zwischen Benutzern der Websites sowie Werbe-E-Mails, die die Nutzer von den Websites erhielten, woraus teils auch die E-Mail-Adresse der Benutzer hervorging. Solche Informationen können ausreichen, um einen Benutzer persönlich zu identifizieren.
Angeschaute Videos mitgeloggt
Insbesondere war aus den Daten auch ersichtlich, welche Videos ein Benutzer betrachtete oder mietete – woraus sich beispielsweise sexuelle Präferenzen ableiten lassen. Doch damit nicht genug: Bei fehlgeschlagenen Login-Versuchen zeichneten die Systeme sogar Nutzernamen und Passwort im Klartext auf. Außerdem waren teilweise die Nutzerdaten der Sexarbeiterinnen einsehbar, die die Videos für die Websites bereitstellen. Die Zahl der betroffenen Personen aus dem Leak gibt Techcrunch etwas vage mit mehreren Millionen an.
Wie Techcrunch schreibt, wurde die Datenbank vergangene Woche vom Netz genommen. Ein Kontaktversuch mit VTS Media per E-Mail scheiterte. Die Spezialisten von Condition:Black verwiesen darauf, dass die Datenschutzrichtlinie der Websites nicht auf eine derart detaillierte Informationssammlung an Nutzerdaten hinweist. Da sich das verantwortliche Unternehmen und die betroffenen Server in der EU befinden, fallen das mutmaßlich unberechtigte Sammeln der Nutzerdaten und natürlich das unbeabsichtigte Offenlegen unter die EU-Datenschutzgrundverordnung. Ein Bußgeld nach DSGVO kann bis zu 4 Prozent des Jahresumsatzes eines Unternehmens betragen; mittlerweile sind die ersten Bußgelder verhängt worden.
Wie heikel das Veröffentlichen persönlicher Informationen – insbesondere aus den intimsten Bereichen der Privatsphäre – sein kann, zeigt unter anderem der Fall des Seitensprung-Portals Ashley Madison im Jahr 2015. Damals waren Daten von ca. 36 Millionen Nutzern von einer Hackgruppe publik gemacht worden. In der Folge waren einige von ihnen Opfer von Verbrechen geworden, zwei Personen sollen Suizid begangen haben. (tiw)
