Am Wochenende wurde eine Sicherheitslücke in der beliebten schwulen Dating-App „Grindr“ bekannt: Während die App selbst nur die Distanz zwischen zwei Usern zeigt, können Hacker ihren genauen Aufenthaltsort bestimmen – bis hin zu dem Zimmer, in dem sie sich befinden.
[youtube 5PU1oK-LsCk]
Möglich ist das, weil die Server von Grindr entsprechende Anfragen auch beantworten, wenn sich die andere Seite nicht authentifiziert hat. Die Hacker haben also vorgegeben, an drei verschiedenen Positionen zu sein und konnten aus den Entfernungen die genaue Position der User ermitteln. Mittlerweile gibt es bereits eine Karte im Internet, die zeigt, wo sich die „Grindr“-User aufhalten. Diese wird auf einem katalanischen Server gehostet. Die Fotos sind zum Schutz der User unscharf maskiert, allerdings ist der Nickname zu sehen. Die Angaben sind erschreckend genau: Zum Zeitpunkt unseres Tests waren zum Beispiel sechs User im AKH.
Die Hacker haben mehr als 100.000 Usern in über 70 Ländern eine Nachricht geschickt, in der sie auf die Sicherheitslücke aufmerksam machen. Dabei heißt es: „Die Verantwortlichen bei ‚Grindr‘ wurden in den letzten Monaten mehrere Male über dieses Thema informiert, was bedeuten würde, dass die Idee einer ‚sozialen Verantwortung‘ bei ‚Grindr‘ aufgegeben wurde.“
„Grindr“ selbst weist jede Verantwortung in einer Stellungnahme zurück. Gegenüber dem britischen Portal PinkNews heißt das, man sehe das aufgezeigte Problem nicht als Sicherheitslücke. Das Teilen der Geodaten sei eine „Kernfunktion der Applikation“, betont die Firma. „Wir machen es ‚Grindr‘-Usern, die besorgt sind, ihre Gegend preiszugeben, sehr einfach, diese Option zu entfernen und wir ermutigen sie, in ihren Privatsphäre-Einstellungen die ‚Zeige Distanz‘-Option zu deaktivieren“, so die offizielle Stellungnahme. Entsprechende Profile werden auch in der Karte der Hacker nicht angezeigt. Die Sicherheit der User habe „oberste Priorität und wir geben unser Bestes, die ‚Grindr‘-Community sicher zu halten, heißt es in der Stellungnahme gegenüber PinkNews weiter.
Die Hacker machen übrigens darauf aufmerksam, dass das Problem nicht nur die fünf Millionen User von „Grindr“ betrifft – auch andere Dating-Apps wie „Hornet“, „Jack’d“ oder das unter Heterosexuellen beliebte „Tinder“ könnten prinzipiell auf die gleiche Art und Weise gehackt werden.