Claudia Klinger am 28. Januar 2017 — 2 Kommentare

Skandal zum #Datenschutztag: Sex-Website kümmerte sich nicht um Bilderschutz

Sexy ModelWochenlang waren die Fotos der Mitglieder des Skirt-Clubs, einer Sex-Community für bisexuelle Frauen, für jeden einsehbar, der die Strukturen von WordPress kennt. Man brauchte offenbar nur den wp-content-Ordner aufrufen und fand dort für jedes Mitglied einen Ordner, auch die Unterordner mit deren sehr intimen (!) Fotos. Dort herrscht nämlich ein Türsteherinnen-Regime: wer nicht jung und „heiß“ genug ist, darf nicht mitmachen.

Das offene Scheunentor hat VICE bemerkt und – wie es sich gehört – die Betreiberin informiert. Obwohl es sich nur um ein paar falsche Zeilen in der Datei .htaccess handelte, die die Zugriffstrechte regelt, war das Team von Skirt-Club offenbar nicht in der Lage, die Lücke zügig zu schließen. Vice berichet:

„Medien und Sicherheitsexperten sollten über solche Datenlecks nicht einfach berichten. Zuerst müssen sie der betroffenen Firma von dem Problem berichten, damit sie es beheben kann. Und sie müssen sicherstellen, dass keine Gefahr für die Nutzer besteht. Im Falle der WordPress-Panne bei Skirt Club war für uns klar: Die Tausenden Frauen, die ihr Vertrauen in diesen angeblichen Safe Place gesetzt haben, müssen endlich sicher sein – und sie haben ein Recht darauf zu wissen, dass Skirt Club ihre intimen Fotos nach dem Upload nicht so schützt wie behauptet. Nachdem wir die Betreiber von Skirt Club auf das Leck hingewiesen haben, antworten sie: „Im Interesse meiner Nutzer muss ich euch bitten, diese Angelegenheit als geklärt anzusehen.“[Hervorhebung von mir] Das Problem: Nichts ist zu diesem Zeitpunkt geklärt. Nichts ist repariert. Die privaten Fotos sind weiterhin nur einen Klick entfernt – obwohl Skirt Club uns gegenüber zu dem Zeitpunkt behauptet, mit Hilfe von ungenannten Experten die Lücke geschlossen zu haben.“

Mittlerweile scheint das Leck zumindest soweit geschlossen, dass nicht mehr jeder Zugriff hat:

„Vier Tage nachdem wir Skirt Club mit unseren Recherchen konfrontiert haben, reagierten sie und versuchten, die Lücke zu schließen – erfolglos. Nachdem wir sie erneut darauf aufmerksam machen, folgt einen Tag später ein Update, das zwar dafür sorgt, dass nur noch wenige Fotos zugänglich sind. Doch bis heute, über fünf Wochen nach unserem ersten Hinweis, sind die Probleme nicht vollständig behoben. Wer aber nicht alle Details der ursprünglichen Lücke kennt, kann heute unmöglich auf die Dateien zugreifen.“

Blöderweise konnte man anhand mancher Bilder die Identität der Frauen leicht ermitteln. Denn die Bilder wurden so gespeichert, wie die Userinnen sie hochgeladen hatten, auch wenn diese die Bilder dann noch beschnitten und z.B. ein Namensschilder auf einem Arztkittel entfernt haben. Auch der Bildvergleich von Gesichtern brachte Identitäten zu Tage, wenn etwa eine Anwältin dasselbe Portraitfoto auch in ihrer Kanzlei benutzte. Mit einigen Frauen hat VICE Kontakt aufgenommen: die waren natürlich extrem entsetzt, denn sie hatten und haben gute Gründe, ihr sexuellen Interessen ihr konservatives Umfeld nicht wissen zu lassen.

Rechtlich ein unerträglicher Zustand

Egal welcher Schaden Betroffenen durch so eine extreme Sicherheitslücke entsteht: es gibt nicht mal eine Möglichkeit, rechtlich gegen die Betreiberinnen vorzugehen. VICE dazu:

„….wer für die Seite von Skirt Club verantwortlich ist, ist öffentlich nicht bekannt. Laut dem Webverzeichnis-Dienst Domaintools.com war sie bis vor einigen Tagen auf eine in London lebende Kate C. registriert, inzwischen ist der Domain-Name verschleiert. Auf unsere Anfragen antwortet die Gründerin von Skirt Club, die das Pseudonym Genevieve LeJeune benutzt. Sie bestreitet, Kate C. zu sein, und möchte ihre bürgerliche Identität nicht verraten.“

Die nächsten beiden Bi-Partys in Berlin sind bereits geplant. Ob da noch jemand kommt? Der Grund, warum ich hier VICE hinterher schreibe, ist genau der: dieser Skandal sollte die größtmögliche Bekanntheit bekommen, damit alle, die es angeht, erfahren, wie unsicher ihre Daten und intimen Bilder auf solchen Seiten sind. Das Gejammer der Betreiberin, sie hätte nicht die Ressourcen großer Unternehmen, kann als „Entschuldigung“ keinesfalls herhalten!  Mal einen Sicherheitscheck durch jemanden, der sich richtig gut mit WordPress auskennt, könnte sogar ich mir leisten, die ich keinerlei kommerzielle Webseite betreibe. Es  darf einfach nicht so bleiben, dass jeder Hinz und Kunz ein datenschutztechnisch schrottige Webseite aufsetzt und einfach so drauf los agiert, in diesem Fall ahnungslose Kundinnen der Gefahr des Outings bzw. sogar möglichen Erpressungen aussetzt.

Ein Label für „geprüfte Sicherheit“ ?

Da es wohl nicht möglich ist, die anonym bleibenden Betreiber/innen der in anderen Ländern gehosteten Webseiten rechtlich zu belangen, könnte doch wenigstens ein Label „geprüfte Sicherheit“ etabliert werden. Die Anbieter müssten einen Check zum Start anbieten, sowie eine regelmäßige Nachschau, ob noch alles stimmt. Das Label sollte auch für kleine Betreiber erschwinglich sein, was ja durchaus möglich ist, wenn man diesen Fall betrachtet. SOVIEL Arbeit war das nicht, die Lücken zu finden. Und um sie zu schließen, waren auch nur ein paar Zeilen Code erforderlich.

Natürlich darf mit dem Label keine Haftung der Organisation, die es vergibt, verbunden werden. Denn man weiß ja nie, was zwischen den regulären Checks passieren kann. Es hätte aber immerhin den Vorteil, dass die jeweiligen User sicher sein könnten, dass das Betreiber-Unternehmen die Problematik im Blick hat und etwas tut, um die Sicherheit zu gewährleisten.

Vielleicht hilft so ein Vorfall auch, wieder mehr Bewusstsein für die Gefahren zu schaffen, die unbegründetes Vertrauen in Irgendwen so mit sich bringen kann!

Diskussion

Kommentare abonnieren (RSS)
2 Kommentare zu „Skandal zum #Datenschutztag: Sex-Website kümmerte sich nicht um Bilderschutz“.

  1. Ich bin sehr dafür, dass Menschen schrottige Websites aufsetzen dürfen. Eine Erklärung der Betreiber, dass sie sich um die Sicherheit kümmern, würde mir als Indiz, dass sie es vielleicht tun, nicht weniger genügen, als ein Label, dass sie es mal taten. Den meisten wohl nicht – so gaukelt das Label Sicherheit vor. Ich bin auch für die Möglichkeit anonymer Websites. Natürlich drohen dann solche Pannen immer wieder und meine Daten sind, mit etwas Pech, in den intimsten Ecken wie öffentlich. Aber selbst die sichersten Plattformen sind gar nicht sicher, nicht vor den Betreibern, jederzeit kann ein Ganove sich einkaufen, nicht vor den Mitarbeitern, nicht vor den freiwilligen Helfern und vor Hacks letztlich auch nicht. Für kleine private Websites wünsche ich mir eher eine für Laien leicht benutzbare Software, die sie auf Sicherheitslücken abklopft und Lösungen vorschlägt. Die könnte ja Statusberichte posten. (WordPress sollte so was beilegen.)

    Ich denke, dass das, was ich im Netz teile, weiterverbreite oder auch nur lagere, ungefähr so sicher und privat ist, wie das, was ich in einem überfüllten Zug einem Freund erzähle. Vielleicht erfährt’s sonst keiner, vielleicht alle. Immer – egal, was mir Betreiber oder Zertifikatverteiler versichern. Ich glaube ja auch nicht, dass Tee mit Bio-Siegel keine Pestizide enthält. Was nie an die Öffentlichkeit gelangen darf, würde ich in keinem Brief schreiben, in keinem Paket verschicken, nicht per E-Mail oder SMS versenden und schon gar nicht auf einer Website posten, gleich wie viele Passwörter ich für den Zugang eintippen muss. Das behindert im Alltag je nach Bedarf. Ich habe wenig geheim zu halten, für andere ist es schwerer. Gut geschützte Kommunikation oder Bereitstellung wäre gewiss eine tolle Sache, aber ich glaube einfach nicht daran. Derzeit nicht. Die Eigentümer der Daten mögen Rechte haben, aber die nützen ihnen nichts, Vertrauen, aber das kann täuschen, Indizien, Erfahrungen anderer, aber die Lage kann sich jederzeit ändern – was ihnen aber bleibt, ist die freie Entscheidung, was sie für sich behalten wollen oder auf Wegen weitergeben, von deren Sicherheit sie sich selbst überzeugen konnten (etwa: Ich zeig es dir in deinem Garten).

    Neulich schrieb mir einer, dass er die Gedichtsammlung auf meiner Website nicht mehr nutze, weil die kein SSL-Zertifikat hat. Das wäre schon eine feine Sache, wenn ich Geld hätte. Und vielleicht hat der Mann Recht und er könnte ertappt werden, wie er ein Gedicht liest oder was er sonst fürchtet. Mir egal: er gibt da ja keine Daten ein. Aber gäbe es ein populäres Sicherheits-Label, würde er sicher danach ausschauen. Ich selbst achte auch auf Sicherheit, wenn ich im Web unterwegs bin, vor allem wenn ich etwas bezahle – u.a. indem ich dafür ein Konto verwende, auf dem wenig ist und das nicht überzogen werden kann. Manche Webshops zeigen Güte-Siegel irgendwelcher Sicherheitsfirmen. Die haben mich nie interessiert.

  2. @Dirk: danke für die umfangreichen Warnungen! Ja, richtig sicher ist nix, aber so ein Label hätte in diesem Fall vermutlich geholfen, denn die schrottige Installation wäre früher bemerkt worden!

Was sagst Du dazu?

*) Pflichtfelder. E-Mail wird nicht veröffentlicht