Ein schwerwiegender Datenschutzskandal erschüttert derzeit die Welt der Online-Dating-Apps: Rund 1,5 Millionen private und teils explizite Fotos von Nutzerinnen und Nutzern wurden wochenlang ungeschützt im Internet gespeichert – ohne Passwortschutz. Betroffen sind fünf Nischen-Dating-Apps des Anbieters M.A.D Mobile, darunter Plattformen für BDSM, Sugar-Dating sowie LGBT-Communities.
Die betroffenen Apps
Laut BBC-Recherche handelt es sich um:
-
BDSM People
-
Chica (eine Sugar-Daddy-Dating-App)
-
Pink, Brish und Translove (LGBT-Dating-Apps)
Zwischen 800.000 und 900.000 Menschen sollen diese Plattformen weltweit nutzen.
Fotos aus Profilen und privaten Nachrichten
Die entdeckten Bilder stammen nicht nur aus Profilen, sondern auch aus privaten Chats – teilweise sogar von Fotos, die bereits von Moderatoren gelöscht worden waren. Die Bilder waren ohne jegliche Verschlüsselung online abrufbar, sobald man den Link kannte.
Aufgedeckt durch einen „ethischen Hacker“
Aras Nazarovas, ein Sicherheitsexperte von Cybernews, entdeckte das Problem im Januar 2025. Bei der Analyse des App-Codes fand er heraus, wo die Fotos auf einem öffentlich zugänglichen Server lagen.
„Das erste Bild, das ich sah, war ein nackter Mann – da wusste ich sofort: Das darf nicht öffentlich sein“, so Nazarovas.
Trotz einer ersten Warnung am 20. Januar reagierte der Betreiber erst, nachdem die BBC am 28. März Kontakt aufnahm. Erst dann wurde der Zugang geschlossen.
Gefahr von Erpressung und politischer Verfolgung
Der Vorfall ist hochbrisant:
-
Nutzer*innen könnten durch Hacker erpresst werden
-
In Ländern mit feindlicher Haltung gegenüber LGBT-Personen drohen realpolitische Konsequenzen, sollten solche Inhalte bekannt werden
-
Zwar wurden keine Klarnamen oder Nachrichten veröffentlicht, doch allein das Bildmaterial birgt Risiken
Reaktion des Unternehmens
M.A.D Mobile dankte dem Sicherheitsforscher für den Hinweis und versprach, „die notwendigen Schritte unternommen“ zu haben. Außerdem soll ein Update für die Apps in den App Stores folgen.
Doch: Warum dauerte die Reaktion über zwei Monate?
Warum wurde trotz mehrerer Warnungen durch Fachleute nichts unternommen, bis die Presse einschritt? Und: Wo ist das Unternehmen überhaupt ansässig? – All das bleibt unbeantwortet.
Offenlegung aus Verantwortung
Normalerweise veröffentlichen Sicherheitsexperten ihre Erkenntnisse erst nach Schließung einer Sicherheitslücke, um Nutzer nicht zusätzlich zu gefährden. Doch Nazarovas und sein Team gingen diesmal bewusst an die Öffentlichkeit, weil sie befürchteten, dass das Unternehmen das Problem einfach aussitzen wollte.
„Es war eine schwere Entscheidung, aber die Menschen haben ein Recht, sich zu schützen“, so Nazarovas.
Erinnerung an Ashley Madison
Der Fall erinnert an den Ashley-Madison-Hack 2015, bei dem Daten von Millionen Nutzer*innen eines Seitensprung-Portals gestohlen wurden. Auch damals führte der Vorfall zu Erpressung, öffentlicher Bloßstellung und sogar Suiziden.
Fazit: Vertrauen verspielt?
In Zeiten zunehmender digitaler Intimität sind Plattformbetreiber in der Pflicht, sensible Daten zu schützen. Dieser Fall zeigt erschreckend deutlich, wie schlampig mit Datenschutz umgegangen werden kann – mit möglicherweise gravierenden Folgen für die Betroffenen.
Nutzer*innen der betroffenen Apps sollten prüfen, ob sie kompromittiert wurden, und ihre Daten, Passwörter und Einstellungen sofort aktualisieren.
Ein transparenter Umgang des Unternehmens steht weiterhin aus.
Kommentar hinterlassen