Nutzerdaten des Porno-Portals cam4 waren im Netz öffentlich zugänglich. Das zeigt ein Bericht der Sicherheitsforscher von SafetyDetectives.
Auf Cam4 können Nutzer live Erwachseneninhalte für Zuschauer streamen. Darunter Striptease oder sexuelle Handlungen an sich selbst oder mit anderen. Die Seite wird vom Unternehmen Granity Entertainment DAC betrieben und ist in mehreren Sprachen verfügbar.
Grund für die Lücke war ein falsch konfigurierter Server, schreibt SafetyDetectives. Die betroffene Datenbank sei sieben Terabyte gross und enthielt knapp elf Milliarden Datensätze. Darunter auch Millionen Daten von Nutzern aus verschiedenen Ländern. Die gefunden Logdateien des Servers gehen bis zum 16. März zurück.
Unter den veröffentlichen Daten finden sich unter anderem Vor- und Nachnamen von Nutzern sowie E-Mail- und IP-Adressen, Informationen zum verwendeten Gerät oder Zahlungsinformationen sowie E-Mail-Verkehr mit dem Support-Team von cam4.
Von den betroffenen Daten konnte das Team von SafetyDetectives mithilfe der veröffentlichten E-Mail-Datensätze Nutzer verschiedenen Ländern zuordnen. Allerdings verweisen die Sicherheitsforscher darauf, dass die Liste unvollständig sei.
So sind US-Bürger mit etwa 6.5 Millionen zugeordneten Nutzern am stärksten vom Datenleck betroffen. Danach folgen brasilianische und italienische Nutzer. Unter den betroffenen Usern finden sich aber auch etwa drei Millionen deutsche Nutzer.
Cam4 hat den Server nach Informationen durch das Team von Safetydetectives gesichert. Ob Unbekannte an Daten gelangt sind, lässt sich nicht sagen. Dem Techportal Wired versichert Cam4 in einer Stellungnahme, dass keine persönlichen Informationen von Nutzern «ausserhalb der Firma SafetyDetectives und der Ermittler des Unternehmens CAM4 unsachgemäss eingesehen wurden.» Auch fügt das Unternehmen hinzu, dass nur «wenige hundert Nutzer» tatsächlich durch die veröffentlichten Daten identifiziert werden konnten.
Eventuell können betroffene User von cam4 benachrichtigt werden. Denn die Betreiber-Firma Granity Entertainment DAC hat ihren Sitz in Irland. Dadurch hat sie eine Informationspflicht gemäss der Datenschutzgrundverordnung (DSGVO) Artikel 34, erklärt Rechtsanwalt Christian Solmecke auf Anfrage von t-online.de. «Dazu müsste durch die Verletzungshandlung ein voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bestehen», sagt Solmecke. «Dies muss das Unternehmen anhand einer Risikobeurteilung selbst prüfen und feststellen.»
Auch Rechtsanwalt und Datenschutzexperte Thomas Schwenke bestätigt auf Anfrage von t-online.de, dass auf Grundlage der bisherigen Informationen generell eine Meldepflicht besteht. «Da es sich bei den Angaben zur Sexualität um besonders geschützte Kategorien von Daten handelt, ist das Risiko sogar besonders hoch, dass betroffene Nutzer blossgestellt oder gar erpresst werden könnten», sagt Schwenke. «Der Anbieter müsste schon nachweisen, dass wirklich kein Zugriff auf die Daten stattgefunden hat, was ohne dedizierte Logs praktisch kaum möglich sein wird.»
Die Benachrichtigung kann dabei per verschlüsselter Mail oder Brief erfolgen. Ob Granity Entertainment DAC solche Schritte vorgenommen hat, ist nicht bekannt. Eine Anfrage von t-online.de diesbezüglich liess das Unternehmen bisher unbeantwortet.
Laut SafetyDetectives können Kriminelle Daten wie E-Mail-Adressen nutzen, um Anwender mit Phishing-Mails reinzulegen. Persönliche Informationen können sogar zur Erpressung verwenden werden. So eine Methode ist beispielsweise als Porno-Erpressung bekannt.
Nutzer sollten generell mit ihren Daten im Netz sparsam umgehen, um solche Szenarien zu vermeiden. Denn es kommt immer wieder vor, dass Kriminelle durch Datenlecks oder Hacks an Nutzerdaten gelangen. Denn mit den Informationen aus einem Konto (Kombination von Benutzername und Passwort) können Kriminelle häufig auch auf Daten anderer Konten zugreifen. Daher sollte man wenn immer möglich die Anmeldung in zwei Stufen aktivieren und einen Passwort-Manager verwenden, der für jede Webseite / App ein eigenes, sicheres Passwort generiert. Der Nutzer muss sich nur noch das Master-Passwort für den Passwort-Manager merken.
(avr/t-online.de)
Die Leute auf diesen Listen haben nichts illegales getan, dafür sollte man sich nicht schämen müssen.