Sicherheitslücke bei Schweizer Start-up

Datenschutz-Probleme bei Schweizer Dating-App für Albanerinnen und Albaner

Uhr
von Petar Marjanovic, Watson.ch, san/ml

Ein Schweizer Start-up betreibt eine europaweit genutzte Dating-App für Albanerinnen und Albaner. Nun wird das Unternehmen mit Datenschutz-Fragen konfrontiert.

(Source: beebright/stock.adobe.com)
(Source: beebright/stock.adobe.com)

Wer Liebe oder Intimität im Internet finden will, hat heute eine riesige Auswahl. Da gibt es die bekannten Apps wie Tinder, Bumble, Grindr oder die teuren professionellen Dienste wie Parship oder C-Date. Und da gibt es auch Nischen-Apps für Hundeliebhabende, Gläubige … und Albaner.

Richtig gelesen: Eine Dating-App für eine bestimmte ethnische Zugehörigkeit. Sie heisst "Dua.com" und wurde bislang rund 350'000 mal installiert. Entwickelt wurde sie von einem Start-up des Ostschweizer Unternehmers Valon Asani, der heute von Zürich und Kosovos Hauptstadt Prishtina aus operiert.

Asani betont, dass "Dua.com" nicht bloss eine Dating-App für Albanerinnen und Albanern sei. Ihm gefalle der Vergleich mit weltweit aktiven App "Bumble" besser als mit "Tinder": "Bei 'Dua.com' geht es sicherlich um Personen mit einer albanischen Herkunft und insbesondere die grosse weltweite Diaspora: Wir wollen diese Leute zusammenbringen, sei es beim Dating, beim freundschaftlichen Kennenlernen oder bei Geschäftsmöglichkeiten. Willkommen sind aber alle, die in diesem Bereich Kontakte knüpfen wollen."

Spam-Klagen wegen Werbe-Anrufen

Der CEO berichtet von seiner Erfahrung, dass sich Menschen mit gleichen Interessen oder Eigenschaften gerne untereinander austauschen würden. "Der Erfolg bei JDate, Muzmatch und Co. kommt nicht von ungefähr und war auch bei 'Dua.com' zu verzeichnen: Wir haben mittlerweile User aus über 50 Ländern. Unser Plan ist es nun, die Plattform auch für andere Communities anzubieten." Erste Vorbereitungen für einen rumänischen Ableger seien bereits im Gange.

Beim Ausbau und der Weiterentwicklung der App stösst das Unternehmen jedoch auf Datenschutz-Probleme, wie sie vielen Start-ups begegnen. Einerseits wollen Investorinnen und Investoren Absicherungen sehen, dass die Daten sicher sind. Andererseits kommt bei Menschen mit familiären Hintergründen in Osteuropa der Faktor "Spam" hinzu.

Ob albanisch-, serbisch-, kroatisch- oder türkisch-stämmig: Viele eingewanderte Familien kennen die nervigen Telefonanrufe von Krankenkassen-Vermittlern oder Kredit-Anbieterinnen, die in der vermeintlichen Landessprache Geschäfte am Telefon andrehen wollen. Asani erzählt, dass bei Albanerinnen und Albanern im Sommer zudem die nervigen Werbe-SMS der Airlines hinzukämen.

Sein Unternehmen bekäme das zu spüren, weil sich User bei ihm beschweren würden. In den App-Bewertungen finden sich zudem vereinzelte negative Reviews, in denen behauptet wird, die Werbe-Anrufe hätten was mit "Dua.com" zu tun. "Die Daten der Userschaft werden weder für Werbeanrufe noch für Werbe-SMS verwendet. An den Vorwürfen ist nichts dran", sagt Asani. Er könne den Unmut einzelner User verstehen. "Die Verbindung zur App ist jedoch schlicht falsch, denn wir haben damit ganz einfach nichts zu tun. Es ist eine falsche Schlussfolgerung. Bei uns registrieren sich täglich ca. 1000 neue User. Wir verkaufen niemals die Daten unserer User an Dritte", sagt Asani dazu. Ein Dementi liegt auch vom Unternehmen vor, das in der App die telefonische Profil-Verifikation vornimmt.

Datenschutz hohe Priorität – Umsetzung nicht perfekt

Im Gespräch zeigt sich: Der Ostschweizer Unternehmer Asani meint es ernst mit dem Datenschutz. So erklärt er, dass seine Firma einen Datenschutzverantwortlichen bezeichnet habe. Dies wird vom Gesetz verlangt, wenn "besonders schützenswerte Daten" verarbeitet werden. Bei "Dua.com" trifft das zu: Nutzerinnen und Nutzer der Dating-App können Angaben über die Religion angeben. Würden diese gehackt werden, hätten Betrügerinnen und Betrüger Informationen zur Weltanschauung von abertausenden Menschen.

So pflichtbewusst Asani sich gibt: Auch sein Start-up ist nicht gegen alle Angriffsversuche gewappnet. Recherchen zeigen etwa, dass mit einer einfachen Abfrage über eine Web-Schnittstelle hunderte Profil-Daten im Minutentakt heruntergeladen werden können. watson erhielt so nach geringem Aufwand die Profilbilder, Vor- und Nachnamen, das Alter, die ungefähre geografische Position sowie religiöse Einstellung von rund 1200 Usern.

Es sind zwar – mit Ausnahme des Nachnamens – dieselben Daten, die jeder App-User selbst beim «Swipen» sieht. Maschinell können solche Daten aber einfacher heruntergeladen und für weitere Recherchen verwendet werden. Etwa, um auf LinkedIn, Facebook, Instagram und Co. passende Profile zu suchen, wo auch User-Daten zum beruflichen Werdegang oder der politischen Einstellung zu finden sind.

Asani erklärt telefonisch, dass ihn solche Lücken ärgern würden. Er relativiert: "Der User gibt diese Profil-Daten ausdrücklich frei und diese sind für jeden registrierten User in der App ersichtlich." Den Nachnamen habe man aber mittlerweile aus der Schnittstelle entfernt, womit der Rückschluss auf eine Person schwieriger werde. "Wir suchen dennoch ständig nach Optimierungsmöglichkeiten, um unsere App noch sicherer zu machen. Im erwähnten Fall haben wir die Schnittstelle auf 100 Abfragen limitiert und nur registrierte Nutzer haben darauf Zugriff", erklärt der Ostschweizer und verspricht den Schutz zu erhöhen und die Daten der Nutzer noch besser zu schützen.

Zur Tatsache, dass User-Passwörter zwischen App und Server unverschlüsselt über verschlüsselten HTTPS-Kanal verkehren, sagt er: "Die Passwörter werden nicht im Klartext gespeichert. Wir verwenden AWS Cognito für die User-Authentifizierung, welche die Anforderungen der sicherheits-sensibelsten Organisationen erfüllt. Nebst dem verschlüsselten HTTPS-Kanal, klären wir mit unserem CTO weitere Möglichkeiten bezüglich einer Client-seitigen Verschlüsselung ab."

Fake-Profil mit Foto von LinkedIn-Profil einer Zürcherin

Unter den rund 1200 Usern-Daten, die watson wegen der schwach gesicherten Schnittstelle erhielt, war auch das Profilbild einer gewissen Laura (Name geändert) darunter. Google spuckte bei der Bilder-Rückwärtssuche ein LinkedIn-Profil einer Zürcher Frau heraus, die tatsächlich Laura heisst. Die echte Laura wusste aber nichts von ihrem Profil auf "Dua.com". "Das schockt mich! Ich habe noch nie von dieser Plattform gehört, noch habe ich mich jemals da angemeldet", schreibt sie auf Anfrage.

Laura dürfte nicht das einzige Fakeprofil-Opfer auf einer Dating-App sein. watson fand unter den rund 1200 User-Daten einzelne Frauenfotos, die auch von Stockbilder-Agenturen verkauft werden. "Dua.com" ist nicht die einzige App, die mit diesem Problem zu kämpfen hat. Auch bei Tinder, Buble oder Grindr finden sich regelmässig "Fakes", oft – aber nicht immer – von Bots generiert, die sich Gesichtsfotos zufällig aus dem Internet ziehen.

Dass es dabei mit Laura eine "echte" Person und nicht irgendein Stockfoto-Model getroffen hat, ärgert Asani. "Wir haben ein Support-Team, welches tagtäglich nichts anderes macht, als Accounts zu scannen und Fakeprofile zu sperren. Bei fast einer Viertelmillion Nutzerinnen und Nutzer haben wir so in einem Jahr seit dem App-Launch bereits 14'431 Accounts gesperrt", sagt er. Konkret zu Lauras Fall kann sich Asani aufgrund datenschutzrechtlicher Bestimmungen nicht äussern. Er verspricht aber: "Wir werden dies – wie jeden anderen Fall – untersuchen."

Dieser Artikel erschien zuerst auf watson.ch.

Wenn Sie mehr über Cybersecurity erfahren möchten, melden Sie sich für unseren wöchentlichen Newsletter von Swisscybersecurity.net an.

Webcode
DPF8_222655