Passwort-Leck bei meetOne
Durch ein frei zugängliches API konnte man unter anderem auf Klartext-Passwörter, Mail-Adressen, Echtnamen der rund 900.000 Flirtwilligen zugreifen.
- Ronald Eikenberg
Durch ein Datenleck bei der Singlebörse meetOne konnte jedermann auf vertrauliche Daten wie Klartext-Passwörter, Mailadressen und Echtnamen der rund 900.000 flirtwilligen Mitglieder zugreifen. Um an die Daten zu kommen, musste man lediglich einen URL-Parameter hochzählen. Nachdem heise Security den Betreiber informierte, wurde die Lücke umgehend geschlossen.
Nachdem heise Security über ein Datenleck in einer speziellen API des Singleportals informiert wurde, konnte die Redaktion das Problem nachvollziehen und auf die Daten eines eigens angelegtes Testprofil zugreifen. Das API lieferte unter anderem Mail-Adresse und Passwort des von uns angelegten Nutzers zurück, womit wir uns problemlos auf der Seite einloggen konnten.
Dort hätten wir auf alle dort hinterlegten Daten, private Nachrichten und Fotos zugreifen können. Zum Abruf der sensiblen Informationen war ein Login allerdings gar nicht nötig – die meisten Daten lieferte bereits das API. Anhand von Bezeichnungen wie "sexuality", "childrenNumber", "schooling", "yearlyIncome", "relationshipTyp" und "searchOneNightStand" kann man sich ausmalen, was ein böswilliger Datendieb mit den Informationen anrichten könnte.
Nachdem heise Security den meetOne-Mitbegründer Nils Hennig über die Schwachstelle informierte, wurde sie innerhalb weniger Stunden geschlossen. Laut Henning sei das "Ausmaß der Lücke [...] überschaubar", weil "zu keiner Zeit sensible Daten wie Abrechnungsdaten ausgelesen werden konnten". Er ließ offen, warum zum Beispiel die im Klartext gespeicherten Nutzerpasswörter nicht zu den "sensiblen Daten" zählen sollen.
Die Betreiber können nicht ausschließen, das die Lücke bereits in der Vergangenheit ausgenutzt wurde und haben nach eigenen Angaben "alle Passwörter zurückgesetzt". Bei einer Stichprobe um 19:30 am Mittwochabend waren alle von heise Security getesteten Passwörter jedoch noch gültig. Wer sich in der Vergangenheit bei der Seite angemeldet hatte, sollte sein Passwort sicherheitshalber ändern – und zwar insbesondere auch bei anderen Diensten, bei denen er das identische Passwort genutzt hat.
Die in Deutschland gegründete Flirtseite wird inzwischen von der amerikanischen meetOne International LLC. betrieben. Nils Henning ist weiterhin bei der in Hamburg ansässigen meetOne GmbH tätig, die sich nur noch als Dienstleister der LLC. sieht und "hauptsächlich Supportaufgaben ausführt". (rei)