Wochenlang waren die Fotos der Mitglieder des Skirt-Clubs, einer Sex-Community für bisexuelle Frauen, für jeden einsehbar, der die Strukturen von WordPress kennt. Man brauchte offenbar nur den wp-content-Ordner aufrufen und fand dort für jedes Mitglied einen Ordner, auch die Unterordner mit deren sehr intimen (!) Fotos. Dort herrscht nämlich ein Türsteherinnen-Regime: wer nicht jung und „heiß“ genug ist, darf nicht mitmachen.
Das offene Scheunentor hat VICE bemerkt und – wie es sich gehört – die Betreiberin informiert. Obwohl es sich nur um ein paar falsche Zeilen in der Datei .htaccess handelte, die die Zugriffstrechte regelt, war das Team von Skirt-Club offenbar nicht in der Lage, die Lücke zügig zu schließen. Vice berichet:
„Medien und Sicherheitsexperten sollten über solche Datenlecks nicht einfach berichten. Zuerst müssen sie der betroffenen Firma von dem Problem berichten, damit sie es beheben kann. Und sie müssen sicherstellen, dass keine Gefahr für die Nutzer besteht. Im Falle der WordPress-Panne bei Skirt Club war für uns klar: Die Tausenden Frauen, die ihr Vertrauen in diesen angeblichen Safe Place gesetzt haben, müssen endlich sicher sein – und sie haben ein Recht darauf zu wissen, dass Skirt Club ihre intimen Fotos nach dem Upload nicht so schützt wie behauptet. Nachdem wir die Betreiber von Skirt Club auf das Leck hingewiesen haben, antworten sie: „Im Interesse meiner Nutzer muss ich euch bitten, diese Angelegenheit als geklärt anzusehen.“[Hervorhebung von mir] Das Problem: Nichts ist zu diesem Zeitpunkt geklärt. Nichts ist repariert. Die privaten Fotos sind weiterhin nur einen Klick entfernt – obwohl Skirt Club uns gegenüber zu dem Zeitpunkt behauptet, mit Hilfe von ungenannten Experten die Lücke geschlossen zu haben.“
Mittlerweile scheint das Leck zumindest soweit geschlossen, dass nicht mehr jeder Zugriff hat:
„Vier Tage nachdem wir Skirt Club mit unseren Recherchen konfrontiert haben, reagierten sie und versuchten, die Lücke zu schließen – erfolglos. Nachdem wir sie erneut darauf aufmerksam machen, folgt einen Tag später ein Update, das zwar dafür sorgt, dass nur noch wenige Fotos zugänglich sind. Doch bis heute, über fünf Wochen nach unserem ersten Hinweis, sind die Probleme nicht vollständig behoben. Wer aber nicht alle Details der ursprünglichen Lücke kennt, kann heute unmöglich auf die Dateien zugreifen.“
Blöderweise konnte man anhand mancher Bilder die Identität der Frauen leicht ermitteln. Denn die Bilder wurden so gespeichert, wie die Userinnen sie hochgeladen hatten, auch wenn diese die Bilder dann noch beschnitten und z.B. ein Namensschilder auf einem Arztkittel entfernt haben. Auch der Bildvergleich von Gesichtern brachte Identitäten zu Tage, wenn etwa eine Anwältin dasselbe Portraitfoto auch in ihrer Kanzlei benutzte. Mit einigen Frauen hat VICE Kontakt aufgenommen: die waren natürlich extrem entsetzt, denn sie hatten und haben gute Gründe, ihr sexuellen Interessen ihr konservatives Umfeld nicht wissen zu lassen.
Rechtlich ein unerträglicher Zustand
Egal welcher Schaden Betroffenen durch so eine extreme Sicherheitslücke entsteht: es gibt nicht mal eine Möglichkeit, rechtlich gegen die Betreiberinnen vorzugehen. VICE dazu:
„….wer für die Seite von Skirt Club verantwortlich ist, ist öffentlich nicht bekannt. Laut dem Webverzeichnis-Dienst Domaintools.com war sie bis vor einigen Tagen auf eine in London lebende Kate C. registriert, inzwischen ist der Domain-Name verschleiert. Auf unsere Anfragen antwortet die Gründerin von Skirt Club, die das Pseudonym Genevieve LeJeune benutzt. Sie bestreitet, Kate C. zu sein, und möchte ihre bürgerliche Identität nicht verraten.“
Die nächsten beiden Bi-Partys in Berlin sind bereits geplant. Ob da noch jemand kommt? Der Grund, warum ich hier VICE hinterher schreibe, ist genau der: dieser Skandal sollte die größtmögliche Bekanntheit bekommen, damit alle, die es angeht, erfahren, wie unsicher ihre Daten und intimen Bilder auf solchen Seiten sind. Das Gejammer der Betreiberin, sie hätte nicht die Ressourcen großer Unternehmen, kann als „Entschuldigung“ keinesfalls herhalten! Mal einen Sicherheitscheck durch jemanden, der sich richtig gut mit WordPress auskennt, könnte sogar ich mir leisten, die ich keinerlei kommerzielle Webseite betreibe. Es darf einfach nicht so bleiben, dass jeder Hinz und Kunz ein datenschutztechnisch schrottige Webseite aufsetzt und einfach so drauf los agiert, in diesem Fall ahnungslose Kundinnen der Gefahr des Outings bzw. sogar möglichen Erpressungen aussetzt.
Ein Label für „geprüfte Sicherheit“ ?
Da es wohl nicht möglich ist, die anonym bleibenden Betreiber/innen der in anderen Ländern gehosteten Webseiten rechtlich zu belangen, könnte doch wenigstens ein Label „geprüfte Sicherheit“ etabliert werden. Die Anbieter müssten einen Check zum Start anbieten, sowie eine regelmäßige Nachschau, ob noch alles stimmt. Das Label sollte auch für kleine Betreiber erschwinglich sein, was ja durchaus möglich ist, wenn man diesen Fall betrachtet. SOVIEL Arbeit war das nicht, die Lücken zu finden. Und um sie zu schließen, waren auch nur ein paar Zeilen Code erforderlich.
Natürlich darf mit dem Label keine Haftung der Organisation, die es vergibt, verbunden werden. Denn man weiß ja nie, was zwischen den regulären Checks passieren kann. Es hätte aber immerhin den Vorteil, dass die jeweiligen User sicher sein könnten, dass das Betreiber-Unternehmen die Problematik im Blick hat und etwas tut, um die Sicherheit zu gewährleisten.
Vielleicht hilft so ein Vorfall auch, wieder mehr Bewusstsein für die Gefahren zu schaffen, die unbegründetes Vertrauen in Irgendwen so mit sich bringen kann!
Diskussion
Kommentare abonnieren (RSS)
2 Kommentare zu „Skandal zum #Datenschutztag: Sex-Website kümmerte sich nicht um Bilderschutz“.