[datensicherheit.de, 04.04.2024] „Check Point Research“ (CPR), die Threat-Intelligence-Abteilung der Check Point® Software Technologies Ltd., hat nach eigenen Angaben „eine alarmierende Schwachstelle in der Privatsphäre von Dating-Apps“ aufgedeckt. Der Fokus der Untersuchung hat demnach auf der weit verbreiteten „LGBTQ+“-App „Hornet“ gelegen, welche von über zehn Millionen Nutzern heruntergeladen worden sei. CPR habe nachweisen können, „wie der genaue Standort dieser Nutzer mit erschreckender Präzision ermittelt werden kann“. Dies berge erhebliche Risiken – von der Verletzung der Privatsphäre bis hin zu ernsthaften Sicherheitsbedenken für Nutzer dieser Plattform.

Einige Apps können Nutzern die eigene Entfernung zu anderen Nutzern anzeigen

„Dating-Apps bieten die Möglichkeit, mit Menschen in der Nähe in Kontakt zu treten und nutzen in der Regel Standortdaten, um die Chancen auf reale Treffen der Nutzer zu erhöhen. Einige Apps können den Nutzern dabei sogar die eigene Entfernung zu anderen Nutzern anzeigen. Diese Funktion ist sehr nützlich für die Koordinierung von Treffen, da sie anzeigt, ob ein pozentieller Partner nur eine kurze Strecke entfernt, oder etwas weiter weg ist.“

Wenn der eigene Standort offen mit anderen Nutzern geteilt wird, könne dies allerdings zu ernsthaften Sicherheitsproblemen führen. Die Risiken würden deutlich, „wenn man den möglichen Missbrauch durch eine neugierige Person bedenkt, die über Kenntnisse der Trilateration verfügt“.

Mittels Trilateration, ein Messverfahren zur Positionsbestimmung, könnten die Zielkoordinaten bestimmt werden, „indem die Koordinaten mehrerer Punkte und die Entfernung zwischen diesen Punkten und dem Ziel bekannt sind“. In manchen Fällen reiche es aus, die genaue Entfernung zu zwei Punkten und nur die ungefähre Entfernung zu einem dritten Punkt zu kennen.

Nutzern wird empfohlen vorsichtig zu sein, welche Berechtigungen sie Apps gewähren

Trotz der Versuche, den Standort des Nutzers zu schützen, hätten die CPR-Untersuchungen gezeigt, dass der Standort in reproduzierbaren Experimenten bis auf zehn Meter genau habe bestimmt werden können. „Nach der verantwortungsvollen Offenlegung durch CPR haben die ,Hornet’-Entwickler Schritte unternommen, um die Sicherheit der Nutzer zu verbessern und die Genauigkeit der Standortbestimmung auf 50 Meter zu verschlechtern.“

Dennoch werde Nutzern empfohlen vorsichtig zu sein, „welche Berechtigungen sie den Apps, die sie nutzen, gewähren, insbesondere in Bezug auf Standortdienste“. Auch sollten Nutzer sich regelmäßig über die neuesten Sicherheitspraktiken und Updates der von ihnen verwendeten Apps informieren, um die eigene Privatsphäre zu schützen.

„Vor allem bedenklich werden mögliche Sicherheitsverletzungen, wenn diese von Dritten missbraucht werden, um Personen aktiv zu schaden oder die Daten zu verkaufen. Diese Besorgnis ist bei Dating-Apps für Menschen mit diverser Orientierung noch ausgeprägter, da die Verwundbarkeit durch die Tatsache verstärkt wird, dass ,LGBTQ+‘-Leute in einigen Teilen der Welt keine oder wenig Rechte bezüglich ihrer sexuellen Orientierung in Anspruch nehmen können.“ In diesen Regionen sei es keine Wahl, sondern eine entscheidende Notwendigkeit, persönliche Informationen wie die Geolokalisierung privat zu halten.

App-Entwickler haben Maßnahmen ergreifen, um die Sicherheit der Nutzer zu gewährleisten

Frühere Veröffentlichungen von Forschern zu diesem Thema hätten Entwickler dazu veranlasst, Maßnahmen zu ergreifen, um die Sicherheit der Nutzer zu gewährleisten und die Preisgabe der Geolokalisierung zu verhindern.

Gängige Praktiken dazu sind laut CPR:

• Die Rundung geografischer Koordinaten.
• Die Rundung und zufällige Änderung der Entfernung zu Nutzern in Suchergebnissen.
• Die Möglichkeit, die Entfernung zu verbergen.

„Dass diese Versuche Wirkung zeigten, konnte bei erneuten Untersuchungen festgestellt werden, bei welchen die Standorte der Nutzer sehr viel ungenauer festgestellt werden konnten.“

Notwendigkeit eines geschärften Bewusstseins und verbesserter Sicherheitsmaßnahmen bei Dating-Apps

„Diese Untersuchung unterstreicht die Notwendigkeit eines erhöhten Bewusstseins und verbesserter Sicherheitsmaßnahmen bei Dating-Apps“, betont Alexander Chailytko, „Cyber Security, Research & Innovation Manager“ bei Check Point.

Er führt aus: „Da digitale Räume immer mehr zu einem integralen Bestandteil persönlicher Beziehungen werden, müssen Sicherheit und Privatsphäre der Nutzer an erster Stelle stehen.“ CPR fordere App-Entwickler auf, diesen Aspekten Priorität einzuräumen und ermutige die Nutzer, wachsam zu bleiben bezüglich der von ihnen erteilten Berechtigungen und einhergehender Schwachstellen.

Mehr Details und eine genaue Erklärung der sogenannten Trilateration ist im Check-Point-Blog im Beitrag „Not So Private After All: How Dating Apps Can Reveal Your Exact Location“ (s.u.) zu finden.

Weitere Informationen zum Thema:

CHECK POINT, 04.04.2024
RESEARCH / Not So Private After All: How Dating Apps Can Reveal Your Exact Location

[datensicherheit.de, 08.02.2024] Laut einer aktuellen Meldung von NordVPN im Kontext sogenannter Dating-Anwendungen – Vorfeld des bevorstehenden Valentinstages am 14. Februar 2024 – haben hauseigene Experten herausgefunden, „dass die Downloads von Dating-Apps am Valentinstag weltweit um 17 Prozent ansteigen“, und warnen daher vor potenziellen Risiken in Verbindung mit der Privatsphäre von Nutzern.

Dating-Apps trachten am eifrigsten nach Zugriff auf unzählige Gerätefunktionen

Während vermutlich gerade jetzt unzählige Nutzer auf der Suche nach einem Partner für den Valentinstag sind, warnen Cyber-Sicherheitsexperten vor den Risiken für die Privatsphäre im Zusammenhang mit Dating-Apps: „Dating-Anwendungen gehören zu den datenschutzfeindlichsten Apps.“ Fast 25 Prozent der von Dating-Apps angeforderten Berechtigungen für den Zugriff auf Gerätefunktionen stehen demnach „in keinem Zusammenhang mit ihrer Leistung“, wie eine Untersuchung von NordVPN gezeigt habe.

„Dating-Apps gehören zu den Anwendungen, die am eifrigsten den Zugriff auf Gerätefunktionen verlangen, die für deren Leistung nicht erforderlich sind. Die gesammelten Daten könnten gegen die Interessen des Nutzers verwendet werden und zu Problemen für die Privatsphäre von Nutzern führen“, erläutert Adrianus Warmenhoven, „Berater für Cybersicherheit“ bei NordVPN. Diese könnten weitaus gravierender sein als gezielte Werbung. Er rät: „Nutzer sollten immer abwägen, ob die App bestimmte Daten benötigt, um ihre Aufgabe zu erfüllen, bevor sie auf ,Akzeptieren’ tippen, selbst wenn die App bekannt ist und einen guten Ruf hat.“

Eine Dating-App verlangt im Durchschnitt etwa 23 Geräteberechtigungen

Nach aktuellen Erkenntnissen von Forschern für Cyber-Sicherheit und Datenschutz verlangt eine Dating-App „im Durchschnitt fast 23 Geräteberechtigungen“ – darunter den Zugriff auf den Standort oder Fotos und Videos. Bis zu sechs solcher Berechtigungen seien aber für die Funktionalität einer Anwendung unnötig.

Darüber hinaus sei die Kategorie der Dating-Apps führend bei der Anforderung spezieller, gefährlicher und biometrischer Berechtigungen, „bei denen es um hochsensible oder persönliche Informationen und systemkritische Prozesse geht“. Warmenhoven führt aus: „Dating-Apps fordern im Durchschnitt elf spezielle, gefährliche und biometrische Berechtigungen an. Nur Lifestyle- (14), Messaging- und Social-Networking-Apps (13) fordern mehr Berechtigungen dieser Art an.“

6 Tipps zum Schutz der Privatsphäre bei Dating-Apps

Um die Privatsphäre auf Dating-Apps nicht nur rund um den Valentinstag zu schützen, empfiehlt Warmenhoven die folgenden Maßnahmen:

1. Apps nur von offiziellen Stores herunterladen!
„Inoffizielle App-Stores verfügen nicht immer über Systeme, um zu prüfen, ob eine App sicher ist, bevor sie veröffentlicht und zum Download angeboten wird.“ Außerdem bestehe insbesondere bei Dating-Apps aus inoffiziellen Quellen das Risiko, „dass sie von Cyber-Kriminellen verändert werden“.

2. Überprüfen der Datenschutzbestimmungen der App vor dem Herunterladen!
„Prüfen Sie, welche Informationen die Dating-App erfasst und was sie an Dritte weitergibt. Wenn Sie mit dem Datenschutzniveau nicht zufrieden sind, sollten Sie eine andere Dating-App oder Dating-Websites verwenden!“

3. Mit den Berechtigungen für die eigenen Daten vertraut machen!
„Wenn Sie eine App herunterladen, werden Sie aufgefordert, verschiedene Berechtigungen für den Zugriff auf Ihre Daten zu erteilen. Vergewissern Sie sich, dass diese für Sie sinnvoll sind! Wenn Sie bereits eine App haben, überprüfen Sie alle Berechtigungen und deaktivieren Sie diejenigen, die Sie nicht brauchen oder wollen.“ Zu achten sei besonders auf Berechtigungen für den Zugriff auf Kamera, Mikrofon, Speicher, Standort und Kontaktliste.

4. Niemals automatisch mit Konten von Sozialen Netzwerken anmelden!
„Wenn Sie sich bei einer App mit Ihrem Social-Media-Konto anmelden, kann die App Informationen von diesem Konto sammeln und umgekehrt!“

5. Einschränken der Standortberechtigungen!
Viele Apps, darunter auch Dating-Apps, verlangten Zugriff auf die Standortdienste des Telefons. „In einigen Fällen ist der Zugriff auf den Standort zwar für die Funktionalität der App erforderlich, aber es ist am besten, wenn Sie den Apps nur dann erlauben, Ihren Standort zu verfolgen, wenn Sie die App verwenden, und nicht die ganze Zeit!“

6. Löschen nicht verwendeter Apps!
„Wenn eine App ungenutzt auf Ihrem Bildschirm liegt, löschen Sie sie!“ Wahrscheinlich sammele sie immer noch Daten über den Nutzer – „auch wenn diese nicht verwendet wird“.

Weitere Informationen zum Thema:

NordVPN
Die Lizenz zum Spionieren: Die meisten Apps fragen mehr Daten ab, als sie brauchen / Mindestens 60% der Android- und iOS-Apps wollen mehr über dich wissen, als sie sollten

datensicherheit.de, 13.02.2023
Liebesbetrug am Valentinstag: Auch ein Festtag für Cyber-Kriminelle / Gerade am Valentinstag viele alleinstehende Menschen im Internet auf der Suche nach Kontakt

datensicherheit.de, 14.02.2022
Vorsicht auch am Valentinstag: Cyber-Kriminelle missbrauchen zunehmend kulturelle Ereignisse für ihre Zwecke / Auch der Valentinstag ist alljährlich immer wieder Anlass für neue Betrügereien und Angriffe

datensicherheit.de, 12.02.2019
Valentinstag am 14. Februar: Wieder droht Love Scam / G DATA warnt vor gefährlichem Liebesbetrug und benennt Schutzmaßnahmen

Auch der Valentinstag ist alljährlich immer wieder Anlass für neue Betrügereien und Angriffe

[datensicherheit.de, 14.02.2022] Anlässlich des diesjährigen Valentinstages am 14. Februar 2022 warnt auch Chris Vaughan, „Area Vice President, Technical Account Management“ bei Tanium, vor betrügerischen Machenschaften: „Wir haben in den letzten Jahren beobachtet, dass Cyber-Kriminelle zunehmend kulturelle Ereignisse für ihre Zwecke nutzen und so ist auch der Valentinstag immer ein Anlass für neue Betrügereien und Angriffe.“

Foto: Tanium

Chris Vaughan: Unternehmen sollten zusätzlich auch zur Vorsicht aufrufen – Im Betrieb sowie im Home-Office

Betrug im Bereich der Liebesbeziehungen – gerade im Umfeld des Valentinstags – nimmt stark zu

Eine der Methoden in diesem Jahr – 2022 – sei, dass sich Betrüger als falsche Personen ausgegeben hätten, um potenzielle Opfer auf der Suche nach einer romantischen Beziehung zu finden und zu kontaktieren. Vaughan berichtet:

„Nachdem so wochenlang versucht wurde, das Vertrauen der Opfer zu gewinnen, lassen sie sich unter Umständen dazu überreden, den Betrügern aus verschiedenen Gründen Geld zukommen zu lassen, z. B. für Reisekosten oder als Hilfe in einer Notlage.“ Jüngste Beispiele wie der „Nicolas Cage“-Betrug machten deutlich, dass der Betrug im Bereich der Liebesbeziehungen stark zunehme, immer phantasievoller werde und dass es vielen Opfern oft zu peinlich sei, den Betrug zu melden.

Cyber-Kriminelle nutzen auch gerne Phishing-E-Mails, um Opfer rund um den Valentinstag zu ködern

„Neben der Konzentration auf Dating-Apps und Soziale Netzwerke haben wir in den letzten Jahren eine Zunahme an Fällen beobachtet, in denen Cyber-Kriminelle Phishing-E-Mails nutzen, um ihre Opfer rund um den Valentinstag zu ködern“, so Vaughan.

Diese gäben sich zum Beispiel als falscher Online-Blumenhändler aus und würden um eine Auftragsbestätigung bitten oder auch als einen auf einer Dating-Website kennengelernten frisch Verliebten.

Valentinstags-Betrügereien zielen eher auf persönliche E-Mail-Konten ab

Um nicht zum Opfer zu werden, sollten Einzelpersonen auf potenziell bösartige Links in E-Mails achten. Vaughan erläutert: „Hier empfiehlt es sich, mit dem Mauszeiger über URLs zufahren, um deren Echtheit zu überprüfen. Valentinstags-Betrügereien zielen eher auf persönliche E-Mail-Konten ab und da viele Menschen von zu Hause aus arbeiten, ist es für Unternehmen wichtig, dass sie einen Überblick haben, welche Geräte von ihren Mitarbeitern mit dem Firmennetzwerk verbunden sind.“

Unternehmen sollten zusätzlich auch zur Vorsicht aufrufen und ihre Mitarbeitern daran erinnern, bewährte Sicherheitspraktiken anzuwenden wie z.B. sicherzustellen, „dass Links legitim sind und die Verwendung privater Apps auf Firmengeräten vermeiden“.

Weitere Informationen zum Thema:

datensicherheit.de, 13.02.2022
Online-Dating: Beim digitalen Rendezvous auf Datensicherheit achten / Valentinstag am 14. Februar – Anthony Etien zu Bedrohungen und Lösungsansätzen für mehr Datensicherheit

[datensicherheit.de, 13.02.2022] Alle Jahre wieder rund um den Valentinstag machen sich Singles vermehrt auf die Suche nach einem Seelenverwandten – vermehrt mittels Nutzung von Dating-Apps. Mag es sich das erste Mal noch so aufregend anfühlen, einem bis dato Unbekannten zu schreiben, raten Datensicherheitsexperten indes ganz nüchtern zur Vorsicht. Folgende Frage sollte beantwortet werden können: „Ist die Person, mit der Sie gerade digital anbandeln, wirklich die, für die sie oder er sich ausgibt?“ Anthony Etien von GlobalSign geht in seiner aktuellen Stellungnahme auf diese Problematik ein: „Niemand hört das gern. Trotzdem ist es eine Tatsache, dass der Valentinstag auch für Betrüger weltweit eine der aktivsten Zeiten ist – eine Gelegenheit mit unterschiedlichsten Betrugstechniken Geld zu ergaunern.“ Auf der anderen Seite setzten auch Dating-Apps neue Methoden ein, um die Identität der Benutzer zu schützen.

Doxer bedrohen Datensicherheit – Diebstahl der Identität

Etien berichtet: „Online-Dating-Apps bleiben weiterhin überaus beliebt. In Zeiten der ,COVID-19-Pandemie‘ und der damit einhergehenden ,Lockdowns‘ haben viele Menschen das Internet genutzt, um neue Bekanntschaften zu schließen. Eine Tatsache, die sich Hacker und Betrüger weidlich zunutze gemacht haben.“ Dating-Apps wie „Tinder“, „Meetic“ oder „Bumble“ seien ein Einfallstor für Hacker, mit dem Ziel auf persönliche Daten der Mitglieder zuzugreifen.
Inzwischen sei der Schutz von Benutzerdaten zu einem der Hauptanliegen großer App-Anbieter geworden. Eine Kaspersky-Studie vom Juni 2021 enthülle die Bedrohungen, denen diese ausgesetzt seien, aber auch die Befürchtungen der Nutzer. „Die Zahlen sprechen für sich. So zeigt die Studie beispielsweise, dass in Frankreich 10 Prozent der Nutzer Opfer des sogenannten Doxing geworden sind“, so Etien. Bei dieser Methode werde das Internet nach Informationen über die Identität und das Privatleben eines Menschen durchforstet – und diese Daten dann veröffentlicht, um ihm zu schaden.
Etien warnt: „Die ungeheure Menge an personenbezogenen Daten, die auf solchen Plattformen verfügbar sind, macht es Angreifern extrem leicht. Und so können ,Doxer‘ potenziell auf Namen, Informationen zum Arbeitsplatz, Telefon- und Kreditkartennummer oder sogar die Adresse zugreifen.“

Bei Online-Kommunikation stets Grundregeln der Datensicherheit beachten!

„In der Tat haben Soziale Medien und verschiedene Apps das Dating für uns viel einfacher gemacht“, meint Anna Larkina, Sicherheitsexpertin bei Kaspersky. Man finde vielleicht die Liebe seines Lebens online, aber leider gebe es „Bots“ und Betrüger, die auf Dating-Plattformen nach leichter Beute suchten. Deshalb bleibe es bei der Online-Kommunikation weiterhin wichtig, sich an die Grundregeln des digitalen Datenschutzes zu halten.
Larkina führt aus: „Um sicher online zu daten, empfehle ich, keine personenbezogenen Daten wie Ihre Telefonnummer, Ihren Standort, Ihre Privat- und Büroadresse usw. mitzuteilen. Wenn Sie Bedrohungen in einem so frühen Stadium verhindern, können Sie Online-Dating sorgenfrei genießen.“
Sie rät indes zur Vorsicht: Das größte Risiko für Benutzer dieser Apps sei der sogenannte Liebesbetrug. „Und wir wollen wirklich nicht, dass am Valentinstag Ihre Suche nach der großen Liebe mit der Suche nach Ihrem verlorenen Geld endet.“

Fake-Profile unterlaufen Datensicherheit

Diese Betrugstechnik bestehe darin, ein Opfer über eine Dating-App zu kontaktieren, es zu verführen und es dann um eine, in den meisten Fällen nicht unbeträchtliche Geldsumme, zu erleichtern.  „Normalerweise verbringen solche Betrüger Wochen damit, das Vertrauen ihrer Opfer zu gewinnen, sie mit erfundenen Geschichten darüber, wer sie sind und wie sie leben, zu füttern. Anfangs bringen sie das Thema Geld überhaupt nicht zur Sprache. Schließlich soll das Opfer annehmen, dass die neue Liebe echt ist“, berichtet Detective Superintendent Matt Bradford von der City of London Police.
Diese Betrugsform sei zweifelsohne ein globales Phänomen. Letztes Jahr habe das FBI enthüllt, dass es sich dabei um die zweitlukrativste Art von Cyber-Kriminalität handele, die im Jahr 2020 überhaupt gemeldet wurde – mit einem entstandenen Schaden in Höhe von 600 Millionen US-Dollar. Liebesbetrüger schreckten dabei vor nichts zurück und würden ihre Opfer unter dem Vorwand, Hilfe zu benötigen, um finanzielle Unterstützung, Hilfe beim Bitcoin-Betrug oder sogar die Übernahme medizinischer Kosten bitten. Um ihre Nutzer so gut wie möglich zu schützen, hätten die Anbieter hinter den Dating-Apps, wie etwa die Website „Meetic.fr“, Leitfäden zur Online-Sicherheit in ihre Vertrauens-Charta aufgenommen. Diese rieten den Nutzern ausdrücklich zur Vorsicht und würden empfehlen, niemals Geld zu überweisen, finanzielle Informationen zurückzuhalten und insbesondere bei Fernbeziehungen umsichtig zu sein.
Doch damit sei das Problem der „Fake-Profile“ noch nicht gelöst. Mittlerweile sei es sattsam bekannt, „dass Dating-Sites voll von solchen Profilen sind“. Fake-Profile werden demnach aus den Fotos und Profilen anderer Personen erstellt – mit dem Ziel, Opfer anzulocken und ihnen immer größere Geldsummen abzupressen. Diese gefälschten Profile seien für Dating-Giganten das größte Ärgernis. Doch derzeit setzten die meisten Dating-Sites noch keine ausreichenden Authentifizierungssysteme ein, um sicherzustellen, dass ein Profil auch wirklich das Eigentum derjenigen Person ist, die es verwendet. „Tinder“ sei hierbei eine Ausnahme und habe möglicherweise die Lösung für dieses Problem gefunden.

Option biometrischer Gesichtserkennung für mehr Datensicherheit

Im Kampf gegen sogenannte Fake-Profile habe „Tinder“ beschlossen, die Sache selbst in die Hand zu nehmen. „Seit einigen Monaten verifiziert die App Ihr Profil, indem Selfies mit den Fotos in Ihrem Account abgeglichen werden. Stimmen die Fotos überein, erhält Ihr Profil als Nachweis der Verifizierung ein blaues Häkchen. Dies bietet zusätzliche Sicherheit, wenn Sie mit Fremden Kontakt aufnehmen.“ Dies ermögliche die biometrische Authentifizierung. Sie verifiziere die Identität einer Person, „indem Gesicht und Kopf vermessen werden.“
Auf der Unternehmenswebsite erkläre „Tinder“, „dass der Verifizierungsprozess in zwei Schritten erfolgt: der Posenüberprüfung und der Gesichtsüberprüfung“. Durch das Sammeln dieser Informationen könne die Künstliche Intelligenz feststellen, „ob Ihr Selfie mit Ihrem Profil übereinstimmt“. Diese Informationen würden in einer „Vorlage“ zusammengestellt, „die mit der aus Ihren Profilfotos erstellten Vorlage verglichen wird“. Stimmen diese überein, gelte das Profil als verifiziert.
Biometrische Technologien hielten langsam Einzug in unseren Alltag. Dies sei natürlich keine neue Entwicklung – die biometrische Authentifizierung werde bereits von elf europäischen Ländern (Frankreich, Österreich, Finnland, Deutschland, Ungarn, Griechenland, Italien, Lettland, Litauen, Slowenien und den Niederlanden) verwendet. „Die Niederlande bestehen dabei auf dem Einsatz dieser Technologie für gerichtliche Zwecke.“ Zusätzlich zu Dating-Apps und Sicherheitsdiensten verwendeten viele „iPhone“-Besitzer jetzt die biometrische Authentifizierung, um ihre Telefone zu entsperren, die Sicherheitskontrollen am Flughafen zu passieren und online auf Behördendienste zuzugreifen. Etiens abschließender Kommentar: „Somit überrascht es nicht, dass diese Technologie nun auch für Dating-Portale und Apps genutzt wird.“

Weitere Informationen zum Thema:

datensicherheit.de, 27.09.2021
Dating-App: Sicherheitslücken für Nutzer ein Risiko

statista
Most popular dating apps in the United States as of April 2021, by number of monthly downloads

kaspersky, 29.06.2021
Dating apps in 2021: technically safer but threats of stalking and doxing still loom

kaspersky
What is Doxing – Definition and Explanation

kaspersky, 19.07.2021
One in six users has been doxed while dating online

INSIDE THE FBI, 12.02.2021
Romance Scams / Protect Your Heart and Your Bank Account

meetic.fr
Charte de confiance

MUO, Emma Garofalo, 20.01.2022
4 Red Flags That Your Tinder Match Might Be Fake

tinder
What is Photo Verification?

tinder
How does Photo Verification work?

GlobalSign Blog, Petteri Ihalainen, 15.08.2016
What is Biometric Authentication?

EURACTIV, Luca Bertuzzi, 26.10.2021
Facial recognition technologies already used in 11 EU countries and counting, report says

NEC, 07.07.2020
The Top 9 Common Uses of Biometrics in Everyday Life

Pandemie hat Dating-Welt nachhaltig umgekrempelt

[datensicherheit.de, 27.09.2021] Die „Pandemie“ habe die Welt des sogenannten Datings nachhaltig umgekrempelt: Mehr als jeder Dritte Deutsche habe schon Erfahrungen mit Online-Dating gemacht. Auch „Mobile Dating“ sei ein Trend, welcher aus der „Pandemie“ hervorgegangen sei. „Statista prognostiziert bis 2024 über 275 Millionen weltweite Nutzer. Forscher von Check Point Research (CPR) entdeckten mehrere kritische Schwachstellen in der Website und der mobilen App der amerikanischen Singlebörse ,OkCupid‘, einem der weltweit führenden kostenlosen Online-Dating-Dienste mit mehr als 50 Millionen Nutzern in 110 Ländern, und half, diese zu beheben“, berichtet Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“, bei der Check Point Software Technologies GmbH. Obwohl sich die Plattformen mittlerweile um mehr Sicherheit bemühten, wurden selbst bei den großen Anbietern, wie z.B. „Tinder“, Sicherheitslücken entdeckt.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: Jeder Nutzer von Dating-Diensten sollte stets Vorsicht walten lassen!

Risiken für Nutzer beim Online-Dating:

Eines der größten Risiken für Nutzer, welche freizügige Fotos teilen, sei die Möglichkeit, dass diese Bilder als Erpressung verwendet würden. Bei der Registrierung für eine App werde eine große Menge an persönlichen Informationen preisgegeben, welche auch von Cyber-Kriminellen, die sich bei der App anmeldeten, zur Erpressung der Mitglieder verwendet werden könne.
Daneben sei eine der besten Techniken, die Hacker in Dating-Apps einsetzten, die Erstellung eines attraktiven Profils. Schönig erläutert: „Sobald ein Chat zustande kommt und Dateien ausgetauscht werden, können sie jede Art von Malware in der gesendeten Datei verstecken. Zum Beispiel in einem Foto eine Spyware, die in der Lage ist, die Passwörter des Benutzers abzugreifen.“

Fake-Dating-Accounts: Betrug und Identitätsdiebstahl drohen

Manchmal werde mit solchen Fake-Accounts nach langer Online-Beziehung und ohne sich je gesehen zu haben, auch ganz unverblümt nach Geld gefragt. Als Begründung werde hierbei häufig angegeben, dass man das Zugticket, um sich endlich mal persönlich zu treffen, nicht bezahlen könne.
Eine weitere Masche der Cyber-Kriminellen sei außerdem der Identitätsdiebstahl. „Kriminelle sind durch die im Netz preisgegebenen Daten dazu in der Lage, die Identität zu imitieren und diese für ihre betrügerischen Absichten einzusetzen“, warnt Schönig.

Im Darkweb Hunderte gestohlener Dating-App-Profile

Erschreckend zudem sei: „Mit gestohlenen oder gefälschten Konten wird Handel betrieben. Im ,Darkweb‘ finden sich Hunderte von geklauten Dating-App-Profilen, die zu einem hohen Preis verkauft werden. Hinzu kommt natürlich stets die Gefahr, dass der Anbieter durch Hacker die sensiblen Daten verliert.“
Im Jahr 2016 sei eine Dating-Website gehackt und die Daten von 32 Millionen Nutzern seien gestohlen worden, darunter sogar einige, „die sich bereits von den Diensten abgemeldet hatten“. Zu den Daten gehörten demnach E-Mails, Passwörter und persönliche Kontoinformationen, „die unter anderem verkauft und für nachfolgende Phishing- oder Malware-Angriffe verwendet wurden“.

In Dating-Apps genau überlegen, welche Informationen mit wem geteilt werden!

Jeder Nutzer dieser Dienste sollte stets Vorsicht walten lassen, welche Informationen er mit wem teilt – besonders angesichts der Tatsache, dass wegen der Zunahme von Fernarbeit und sogenanntem Home-Office oft private Geräte mit dem Firmennetzwerk verbunden oder die Arbeitsgeräte auch für private Zwecke genutzt würden.
Auf diese Weise könnten sogar Unternehmen als Neben-Effekt ins Visier von Hackern geraten, welche Informationen mittels Spyware oder anderer Schad-Software stehlen wollten.

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD., 28.07.2020
Avoiding Dating Disasters: Check Point Research Helps to Mitigate Significant Vulnerabilities in OkCupid’s Website and Mobile App / Check Point researchers demonstrate how a hacker could have accessed users’ sensitive data – full profile details, private messages, images and email addresses – on OkCupid, the leading free online dating platform

datensicherheit.de, 29.07.2020
OkCupid: Singles im Hacker-Fadenkreuz / Check Point Research informierte Entwickler von OkCupid rechtzeitig über Schwachstellen

datensicherheit.de, 07.09.2019
facebook-Dating – aus Datenschutzsicht bedenklich / Neuer Dienst soll in Europa 2020 zur Verfügung stehen

datensicherheit.de, 15.08.2016
Dating-Portale durch Luring Attacks über TOR-Netzwerk bedroht / Vielzahl an Fake-Profilen zum Ködern von Nutzern

Check Point Research informierte Entwickler von OkCupid rechtzeitig über Schwachstellen

[datensicherheit.de, 29.07.2020] Nach eigenen Angaben konnten Sicherheitsforscher von Check Point eine Schwachstelle in der weltweit genutzten Dating-App „OkCupid“ identifizieren, so dass diese geschlossen werden konnte. Die Forschung zu Schwachstellen bei „OkCupid“, eine der beliebtesten Dating-Plattformen, habe insgesamt ernsthafte Fragen zur Sicherheit aller Dating-Apps und Websites aufgeworfen.

Foto: Check Point

Oded Vanunu: Kritische Schwachstellen hätten Cyber-Kriminellen vollen Zugriff auf OkCupid-Profile ermöglichen können

OkCupid: Sämtliche Konto-Informationen waren gefährdet

Das Research-Team der Check Point® Software Technologies Ltd. sei einer „gefährlichen Sicherheitslücke in der größten Dating-Webseite und -App, ,OkCupid‘, auf die Schliche gekommen“. Kritische Schwachstellen hätten Cyber-Kriminellen den vollen Zugriff auf Profile ermöglichen können, um Bilder, Nachrichten und E-Mail-Adressen zu stehlen.
Bis dahin hätten die Nutzer zu Opfern von Hacker-Angriffen werden können, „die in der Lage gewesen wären, sämtliche Konto-Informationen abzugreifen, darunter private Nachrichten, Geschlecht, Adressen, Bilder und die Antworten auf den Fragebogen von ,OkCupid‘ zur Profilbildung“.
Außerdem hätten die Angreifer das Konto sogar komplett übernehmen und heimlich Mitteilungen verschicken können – ohne, dass der Besitzer es hätte mitbekommen können.

Ein möglicher Angriff auf OkCupid in drei Schritten:

1. Der Hacker erstellt einen betrügerischen Link, der eine Malware enthält oder aktiviert.
2. Er schickt den Link an ein bestimmtes Opfer oder veröffentlicht diesen in einem Forum.
3. Sobald ein Nutzer dem Link folgt, aktiviert er den schädlichen Code und der Hacker kann das „OkCupid“-Konto übernehmen.

OkCupid-Herausgeber hat sofort und verantwortungsbewusst reagiert

„Unsere Forschung zu ,OkCupid‘, eine der beliebtesten Dating-Plattformen, hat ernsthafte Fragen zur Sicherheit aller Dating-Apps und Websites aufgeworfen. Wir haben gezeigt, dass die privaten Details, Nachrichten und Fotos der Benutzer von einem Hacker eingesehen und manipuliert werden können“, berichtet Oded Vanunu, „Head of Products Vulnerability Research“ bei Check Point.
Jeder Entwickler und Benutzer einer Dating-App sollte daher innehalten und überlegen, „welche intimen Details und Bilder er wirklich auf diesen Plattformen veröffentlicht und wie gut diese gesichert werden“.
Lobenswert sei, dass „OkCupid“ sofort und verantwortungsbewusst auf ihre Ergebnisse reagiert habe, um diese Schwachstellen in ihrer Handy-App und Website mit ihnen zu schließen.

OkCupid-Schwachstelle innerhalb von 48 Stunden behoben

Das Unternehmen OkCupid selbst habe nach der gemeinsamen Schließung der Sicherheitslücken ebenfalls einen Kommentar herausgegeben:
„Check Point Research informierte die Entwickler von ,OkCupid‘ über die Schwachstellen, die von ihnen aufgedeckt wurden, und eine Sicherheitslösung wurde verantwortungsbewusst eingeführt, um sicherzustellen, dass die Benutzer die ,OkCupid‘-App weiterhin sicher verwenden können. Kein Benutzer war von der Schwachstelle in ,OkCupid‘ betroffen und wir konnten sie innerhalb von 48 Stunden beheben.“
Das Unternehmen zeigte sich Partnern, wie Check Point, gegenüber dankbar, „die mit ,OkCupid‘ die Sicherheit und den Datenschutz unserer Benutzer an erste Stelle setzen“.

Corona brachte OkCupid Zunahme der Gespräche um 20 Prozent

„OkCupid“ wurde laut Check Point 2004 ins Leben gerufen und sei heute einer der führenden kostenlosen Online-Dating-Dienste weltweit mit über 50 Millionen registrierten Nutzern in 110 Ländern. Stand 2019 seien jährlich 91 Millionen Verbindungen über die Website hergestellt worden, „wobei jede Woche durchschnittlich 50.000 Treffen arrangiert wurden“.
Während der „Covid-19-Pandemie“ habe „OkCupid“ eine Zunahme der Gespräche um 20 Prozent verzeichnet.
Die detaillierten und persönlichen Informationen, die von den Benutzern übermittelt werden, machten Online-Dating-Dienste jedoch auch zum Ziel von Cyber-Kriminellen – entweder für gezielte Angriffe gegen Personen oder für den Verkauf der Daten an andere Hacker.

Weitere Informationen zum Thema:

cp <r>, CHECK POINT RESEARCH, 29.07.2020
Hacker, 22, seeks LTR with your data: vulnerabilities found on popular OkCupid dating app

[datensicherheit.de, 07.09.2019] Die Landesbeauftragte für Datenschutz Schleswig-Holstein im Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) geht auf die Ankündigung des Sozialen Netzwerks facebook ein, einen eigenen Dating-Dienst einzuführen. Der Start in Europa sei für das Jahr 2020 geplant, während er in den USA schon jetzt nutzbar sei. Datenschützerin Marit Hansen sieht dieses neue Angebot nach eigenen Angaben als „kritisch“ an.

Psychologische Profile für Werbung oder Partnervermittlung

Hansen: „Jede Partnervermittlung basiert auf personenbezogenen Daten. Als Daumenregel gilt: Personen passen gut zueinander, wenn sie gemeinsame Interessen haben und psychologisch auf einer Wellenlänge sind. Viele facebook-Nutzer tragen ihre Interessen ein, außerdem führt facebook detaillierte Analysen durch, um passgenaue Werbung zu ermöglichen.“
Für den facebook-Mechanismus sei es egal, ob Produkte an die passenden Kunden vermittelt oder Partner zusammengebracht werden sollen: „Hilfreich für beides sind psychologische Profile.“

Verfahren der Künstlichen Intelligenz, um Gemütszustände zu erkennen

Die Landesbeauftragte für Datenschutz Schleswig-Holstein kommentiert: Für facebook sei die Analyse von psychologischen Eigenschaften und anderen sensiblen Informationen kein Neuland: In 2017 sei bekanntgeworden, dass ein australischer Forscher bei facebook Algorithmen entwickelt habe, um festzustellen, ob sich die jugendlichen Nutzer ängstlich, nervös, gestresst, dumm, unsicher, wertlos oder als Versager fühlten.
Vor einem Jahr habe facebook gezielt „Gay-Cure“-Werbung an homosexuelle junge Leute ausgeliefert – „solche Werbung erklärt, wie sie vermeintlich von ihrer sexuellen Präferenz ,geheilt‘ werden können, und vermittelt den Eindruck, es sei mit einem etwas nicht in Ordnung“. Erst nach einem Hinweis der Medien seien diese manipulativen Werbungen gestoppt worden. Außerdem verwende facebook laut Medienberichten in einigen Ländern Verfahren der Künstlichen Intelligenz (KI), um Gemütszustände anhand von Postings oder Fotos – bis hin zu Depressionen oder Suizidgefahr – zu erkennen, berichtet Hansen.

„Secret-Crush“-Liste für tiefergehende Persönlichkeitsfragen

Nun gehe facebook noch einen Schritt weiter und frage die Dating-interessierten Nutzer selbst aus, um auf dieser Basis passende Partner zu vermitteln. In einer „Secret-Crush“-Liste könne man eintragen, für welche der Freunde man heimlich schwärmt. In den Nutzerfragen gehe es z.B. um Angaben zu dem, was man leidenschaftlich gern tut, wofür man dankbar ist, welches Ziel man noch nicht erreicht hat oder was man gar nicht kann.
„Das sind schon etwas tiefergehende Persönlichkeitsfragen, die es ermöglichen, eine Person mit ihren Facetten näher kennenzulernen – ebenso für interessierte Vermittlungskandidaten wie für Facebook selbst. Werden diese Informationen künftig die Basis für zielgerichtete Werbung sein? Es wäre leicht möglich, die selbst offenbarten oder vom Algorithmus entdeckten Unsicherheiten und Schwächen von Personen auszunutzen – dann wäre einer Manipulation der Menschen Tür und Tor geöffnet“, warnt Hansen.

facebook hat immer wieder große Sicherheits- und Datenschutzmängel

Der Dating-Dienst könn dazu führen, dass die Nutzenden facebook weitere Daten zur Verfügung stellten, z.B. Standortdaten, die für das Verkuppeln ausgewertet werden könnten, oder Inhalte des eigenen Instagram-Nutzerkontos, die sich dort integrieren ließen.
Hansen kritisiert diesen neuen Dienst: „Facebook hat schon jetzt eine Riesenmenge an Informationen über die Nutzer – einschließlich Interessen und psychologischer Einschätzungen. Mit der Dating-Funktion werden es noch deutlich mehr werden. Die Skandale der letzten Monate und Jahre um facebook haben aber deutlich gezeigt, dass die Plattform immer wieder große Sicherheits- und Datenschutzmängel hat“.

Daten zur Partnersuche nur datenschutzkonformen, vertrauenswürdigen Diensten anvertrauen!

Hansen erinnert: „Erst vor wenigen Tagen wurde die Entdeckung eines Datenbestands mit 419 Millionen Einträgen zu facebook-Nutzer-IDs und Telefonnummern bekannt, der frei im Internet verfügbar war. Wenn Nutzerdaten bei facebook nicht sicher sind, fehlt mir das Vertrauen, dass das Unternehmen die sensiblen Dating-Informationen gut genug schützen wird.“
Sonst tauchten bald die ersten Datenbestände mit „Secret-Crush“-Listen oder psychologischen Profilen zu facebook-Mitgliedern im Internet auf. Ihr Rat: „Daten zur Partnersuche nur datenschutzkonformen und vertrauenswürdigen Diensten ohne Sicherheitsprobleme anvertrauen – Finger weg vom facebook-Dating und anderen Anbietern ohne ausreichenden Schutz.“

Weitere Informationen zum Thema:

datensicherheit.de, 05.09.2019
facebook-Datenpanne: 419 Millionen Telefonnummern zugänglich

datensicherheit.de, 25.07.2019
facebook-Bußgeld mit Signalwirkung

datensicherheit.de, 06.06.2019
Messenger-Nachrichten missbraucht, um Facebook-Profile zu kapern

datensicherheit.de, 04.04.2019
Neuer Datenskandal bei facebook beängstigend

[datensicherheit.de, 15.08.2016] Experten von IMPERVA warnen vor der Bedrohung durch sogenannte „Luring Attacks“ auf Dating-Portale über das „TOR“-Netzwerk.

Nutzer umleiten

Demnach werden „Luring Attacks“ von konkurrierenden Dating-Portalen geplant, um Nutzer von der betroffenen Webseite auf jene des Angreifers zu locken.
Die meisten „Luring Attacks“ zielten direkt auf mehrere Dating-Portale ab, um möglichst viele Nutzer auf andere Webseiten einzuladen, die vermutlich alle vom gleichen Hacker betrieben würden.

Hohe Dunkelziffer möglich

Die Mitarbeiter von IMPERVA hätten vor Kurzem einen „deutlichen Anstieg von Hackern“ festgestellt, die das „TOR“-Netzwerk für „Luring“-Attacken nutzten, um ihre eigene Identitäten zu verbergen.
Charakteristisch für diese „Luring Attacks“ über das „TOR“-Netzwerk seien die relativ seltenen, aber regelmäßigen Nachrichten von „TOR“-Kunden mit entsprechenden Anfragen. Durchschnittlich handele es sich um eine bis drei Anfragen pro Tag. Damit wollten die Hacker vermutlich vermeiden, von automatischen Schutzprogrammen der jeweiligen Browser entdeckt zu werden.
Trotz der geringen, von IMPERVA entdeckten Rate der Anfragen sei es möglich, dass die tatsächliche Anzahl viel höher ist und dass bei einem groben Überblick über die Nutzung des „TOR“-Netzwerks nur einige wenige erkennbar waren.

Mit Fake-Profilen Nutzer ködern

Angesichts der Vielzahl an Fake-Profilen zum Ködern von Nutzern gebe es keinen Zweifel an dem Ausmaß des Gesamtschadens der Attacke.
Zudem verunsichere die Attacke die Nutzer der betroffenen Dating-Seite. Die Anfragen belästigten sie und minderten die Glaubwürdigkeit der Website.

Weitere Informationen zum Thema:

IMPERVA, 22.07.2016
Luring attacks – What happens when attackers use TOR Network?