Aufgrund einer gravierenden Sicherheitslücke bei einem App-Entwickler wurden rund 1,5 Millionen private Fotos aus fünf Dating-Apps, darunter drei mit LGBTIQ-Publikum, öffentlich und ungeschützt im Netz zugänglich. 

Verantwortlich für das schwerwiegende Sicherheitsversagen ist das Unternehmen M.A.D Mobile, der Entwickler der betroffenen Apps. Unter den Bildern waren Profilbilder, öffentliche Posts, Verifizierungsfotos und Bilder, die wegen Regelverstössen entfernt wurden.

Die Schwachstelle wurde von dem ethischen Hacker Aras Nazarovas entdeckt, der in Litauen als Autor für Cybernews tätig ist. Durch den Quellcode der App BDSM People erhielt er Zugang zum Speicherort der Bilder, die unverschlüsselt und ohne Passwort zugänglich waren. Somit konnte jede Person mit entsprechendem Link auf die privaten Inhalte zugreifen.

Ob Dritte bereits effektiv Zugriff auf den Speicher erlangt haben, ist unklar. Das Unternehmen M.A.D Mobile, laut BBC mit unbekanntem Sitz, hat sich dazu nicht geäussert.

Auf ihrer Website und in den sozialen Medien schreibt das Unternehmen: «Hallo! Wir sind M.A.D. Mobile Apps Entwickler. Wir lieben Apps, wir lieben Dating und wir lieben aufgeschlossene Menschen. Ihre Nationalität, Ihr Geschlecht und Ihre sexuellen Vorlieben sind uns egal. Lernen Sie unsere weltweiten Projekte kennen, laden Sie sie herunter und geniessen Sie - wir sind sicher, dass Sie alles finden werden, wovon Sie träumen.»

Betroffene Plattformen sind Pink, Brish, Translove, BDSM People und Chica. Die Apps zählen weltweit schätzungsweise zwischen 800‘000 – 900‘000 Nutzer*innen, der Grossteil davon queer.

Reaktion erst nach Medienanfrage Das Unternehmen M.A.D Mobile wurde bereits im Januar 2025 durch Cybernews auf die Sicherheitslücke aufmerksam gemacht. Eine Reaktion erfolgte jedoch erst, als die BBC den Fall im März aufgriff und eine Anfrage stellte. Die Schwachstelle wurde daraufhin Ende des Monats behoben.

Den Nutzer*innen wurde die Sicherheitslücke von Nazarovas und seinem Team mitgeteilt, bevor diese durch das Unternehmen geschlossen wurde. Das ist untypisch - angesichts ausbleibender Massnahmen sahen sie sich jedoch dazu veranlasst, die Öffentlichkeit vorzeitig zu informieren.

Queere Nutzer*innen besonders exponiert Die betroffenen Plattformen im Fall M.A.D Mobile sind allesamt Apps deren Zweck darin besteht, den Austausch und das Ausleben sexueller Freiheiten zu ermöglichen. Entsprechend sensibel und explizit sind die geteilten Inhalte. Die Bilder betreffen den innersten Bereich der Privatsphäre und der sexuellen Integrität. Nutzer*innen solcher Apps sind deshalb in besonderem Mass auf Schutz und Sicherheit im digitalen Raum angewiesen.

In der öffentlichen Berichterstattung wurde das Unternehmen zwar für die verzögerte Reaktion kritisiert, weitgehend unbeachtet blieb jedoch die institutionelle Verantwortung, die sich aus ihrem Zielpublikum ergibt. Queere Personen und nicht-normative Communitys, etwa wie BDSM, sind gesellschaftlich marginalisiert und dadurch einem erhöhten Risiko von Diskriminierung, Erpressung und Gewaltdelikten ausgesetzt.

Nazarovas, der auf die Sicherheitslücke aufmerksam gemacht hat, betonte, dass die Veröffentlichung sensibler Inhalte besonders für queere Menschen gravierende Konsequenzen haben kann. Als Beispiel nannte er unter anderem die Verfolgung von Personen in Ländern, in denen Homosexualität kriminalisiert ist.

Die Daten, die öffentlich zugänglich waren, sind zwar nicht direkt mit Nutzerprofilen verknüpft, sind aber potenziell personenbezogen. Expert*innen wie die Organisation LGBT Tech warnen schon lange davor, dass Gesichterkennungstechnologien zur Identifikation von Personen genutzt und gegen sie verwendet werden können.

Neue Ansätze für digitale Sicherheit Der aktuelle Fall ist exemplarisch für eine Reihe von Datenschutzproblemen im digitalen Dating-Bereich. Datenangriffe auf Apps mit sensiblen Inhalten sind keine Seltenheit. Der Fall erinnert an den Ashley-Madison-Skandal. Die Plattform, welche auf Seitensprünge spezialisiert war und Opfer eines Datenangriffs wurde, hatte gravierende Konsequenzen für das Privatleben von Nutzer*innen.

Die Gay-Dating-App Grindr geriet im Jahr 2021 stark in die Kritik, weil sie Informationen wie den HIV-Status und Standortdaten an Drittunternehmen weitergegeben hatte (MANNSCHAFT berichtete).

Die Frage, wie Datenlecks bei Dating Apps und die Verwendung von Daten sich besser kontrollieren lassen, gewinnt zunehmend an Wichtigkeit. Das Thema wird von Apps wie u2nite aufgegriffen. Ziel: Durch Nutzerfunktionen wie kein GPS-Tracking, Videochats und Verschlüsselungstechnologie die Sicherheit ihrer Nutzer*innen zu garantieren und Datenlecks zu vermeiden.

Text: Elena Löw

Riccardo Simonetti spricht über die Herausforderungen der Sichtbarkeit, das Ringen um Anerkennung und über fehlende Vor­bilder in der Jugend. Ein Gespräch über Träume, Widerstände und die Kraft, zu sich selbst zu stehen (MANNSCHAFT-Interview und Fotostrecke).