Ein Rechercheteam um den Sicherheitsforscher Aras Nazarovas vom litauischen Portal Cybernews hat aufgedeckt, dass private Bilder von Nutzern mehrerer Dating-Apps des Entwicklers M.A.D. Mobile frei zugänglich im Netz gespeichert waren.
Sicherheitslücke bei M.A.D. Mobile ermöglicht Zugriff auf sensible Inhalte
Laut BBC konnten die Bilder ohne Passwortschutz über einen einfachen Link abgerufen werden – betroffen waren insgesamt fünf Apps: die Kink-Plattform BDSM People, das Sugar-Daddy-Portal Chica sowie die queeren Dating-Apps Pink für lesbische Frauen, Brish für schwule Männer und Translove für Trans- und nicht-binäre Menschen.
Die Zahl der betroffenen Nutzer:innen schätzt man auf 800.000 bis 900.000 Personen. Die öffentlich zugänglichen Bilder stammten nicht nur von Profilseiten, sondern auch aus privaten Direktnachrichten, von der Plattform entfernten Inhalten sowie Verifizierungsbildern. Nazarovas betonte gegenüber der BBC: „Das erste Bild, das ich sah, war ein nackter Mann in den Dreißigern – da war sofort klar, dass diese Daten nicht öffentlich zugänglich sein dürfen.“
Gefahr von Erpressung und Outing in queerfeindlichen Ländern
Besonders brisant: Die geleakten Bilder enthalten zwar keine Klarnamen oder Textnachrichten, könnten jedoch in Kombination mit Profilinformationen zur Erpressung oder zum Outing von Personen in Ländern mit queerfeindlicher Gesetzgebung verwendet werden. Laut Cybernews stelle dies eine konkrete Gefahr für Leib und Leben dar, da in manchen Regionen schon die Nutzung solcher Apps strafrechtliche Konsequenzen haben kann.
Auch wenn es bislang keine bestätigten Hinweise gibt, dass Dritte diese Sicherheitslücke aktiv ausgenutzt haben, sei das Risiko laut Expert:innen erheblich. „Selbst wenn keine Namen ersichtlich sind, lassen sich durch Bildabgleich im Netz oft Identitäten herausfinden“, so Nazarovas.
Entwickler wusste seit Jänner vom Leak – reagierte aber erst spät
Brisant ist auch der Umgang des Unternehmens mit dem Datenleck: Schon am 20. Jänner 2025 wurde M.A.D. Mobile auf das Problem hingewiesen. Dennoch reagierte die Firma offenbar erst, nachdem sie von der BBC am 28. März kontaktiert wurde. Erst danach wurde die Sicherheitslücke geschlossen.
In einer Stellungnahme gegenüber dem britischen Sender erklärte M.A.D. Mobile, man sei dem Hinweis von Cybernews dankbar und habe die notwendigen Maßnahmen zur Absicherung der Plattformen ergriffen. Ein App-Update sei in Vorbereitung. Auf Fragen zur Verzögerung oder möglichen Downloadzahlen durch Dritte ging das Unternehmen jedoch nicht ein.
Dating-Apps immer wieder in der Kritik wegen Datenschutz
Der Vorfall reiht sich in eine lange Liste von Datenschutzproblemen bei Dating-Plattformen ein. Schon 2018 warnte die Stiftung Warentest vor der unsicheren Datenverarbeitung bei Apps wie Grindr oder Romeo. Grindr wurde in Norwegen im Vorjahr zu einer Geldstrafe von umgerechnet 5,7 Millionen Euro verurteilt, weil sensible Nutzerdaten unzulässig weitergegeben worden waren.