Raw Dating-App - Verschlüsselung versprochen, Daten real geleakt

Wie TechCrunch aufdeckte, waren die Server der App RAW nicht ausreichend gesichert. Dies führte dazu, dass persönliche Informationen der Nutzer für Dritte mit einfachen Mitteln zugänglich waren. Betroffen waren nicht nur Anzeigenamen und Geburtsdaten, sondern auch sexuelle Präferenzen sowie präzise Standortdaten, die teilweise eine Identifizierung des Aufenthaltsorts auf Straßenebene ermöglichten. Die Lücke basierte auf einer sogenannten „Insecure Direct Object Reference" (IDOR), bei der durch das einfache Ändern einer Nutzer-ID in einer URL auf die Daten anderer Profile zugegriffen werden konnte.

Die Offenlegung von Standortdaten birgt erhebliche Risiken für die persönliche Sicherheit der Nutzer. Noch kritischer ist jedoch die Preisgabe von Informationen über sexuelle Vorlieben. Solche Daten gehören zum intimsten Bereich der Privatsphäre. Ihre unkontrollierte Verbreitung kann schwerwiegende persönliche und soziale Folgen für die Betroffenen haben, von Diskriminierung bis hin zu Erpressungsversuchen. Der Schutz dieser Datenkategorien erfordert daher höchste Sicherheitsstandards.

Besonders bedenklich erscheint der Fall vor dem Hintergrund, dass Raw laut TechCrunch auf seiner Webseite und in der Datenschutzrichtlinie mit einer Ende-zu-Ende-Verschlüsselung warb. Bei einer technischen Analyse des Datenverkehrs konnte TechCrunch jedoch keine Hinweise auf die Implementierung einer solchen Verschlüsselung finden. Stattdessen wurden die Daten offenbar ungeschützt übertragen. Nach Konfrontation sprach Raw nur noch von „Verschlüsselung im Transit“ und „Zugriffskontrollen“, was die ursprüngliche Behauptung deutlich relativiert.

Raw reagierte zwar prompt auf die Meldung von TechCrunch und schloss die Sicherheitslücke. Allerdings räumte die Mitgründerin ein, dass bisher kein externes Sicherheitsaudit der App stattgefunden habe. Eine klare Zusage zur proaktiven Benachrichtigung der betroffenen Nutzer gab es nicht, lediglich die Meldung an die zuständigen Datenschutzbehörden wurde angekündigt. Wie lange die Daten ungeschützt zugänglich waren, ist derzeit noch Gegenstand interner Untersuchungen bei Raw.

Der Vorfall bei Raw unterstreicht erneut die Notwendigkeit, bei der Nutzung von Apps, die Zugriff auf sensible persönliche Daten verlangen, wachsam zu sein. Marketing-Versprechen sollten kritisch hinterfragt werden. Für Entwickler gilt, dass robuste Sicherheitsmaßnahmen und unabhängige Überprüfungen unerlässlich sind, um das Vertrauen der Nutzer zu rechtfertigen und den Schutz ihrer Privatsphäre zu gewährleisten.