Es gibt wohl kaum sensiblere Informationen als die Nutzerdaten von Adult-Websites. Ausgerechnet Frivol.com, ein Portal für Amateur-Erotik, hat jetzt die Daten von Hunderttausenden Nutzern geleakt. Die undichte Datenbank, die Cybernews-Forscher Anfang Januar entdeckten, gehört zu Frivol.com, einer Plattform für Amateur-Erotik-Inhalte. Obwohl der Website-Betreiber Interquest Media in Spanien registriert ist, richtet sich das Angebot an deutschsprachige Nutzer.

Das Unternehmen teilte Cybernews mit, dass keine Kundendaten auf den betroffenen Systemen gespeichert waren, und bestreitet, dass Frivol von einem Datenleck betroffen war. „Es wurden keine Kundendaten im betroffenen System gespeichert. Zu keinem Zeitpunkt bestand ein Risiko für ein Datenleck. Es waren lediglich unbedeutende Protokolldaten betroffen“, sagte ein Unternehmensvertreter gegenüber Cybernews.

Laut unserem Team erhöhen E-Mail-Datenlecks das Risiko für Social-Engineering-Angriffe und Identitäts-Profiling. Bei Adult-Sites kommt jedoch das Risiko von Belästigung und Sextortion hinzu, eine Form von Cyberkriminalität, bei der Angreifer Nutzer dazu zwingen, Nacktbilder zu verschicken, die später zur Erpressung verwendet werden. „Darüber hinaus können Personen, die von dem Datenleck betroffen sind, aufgrund des Stigmas und der Scham, die häufig mit Adult-Inhalten verbunden sind, Reputations- oder psychologische Schäden erleiden“, erklärte unser Team.

Verschlimmert wird die Situation dadurch, dass einige der E-Mail-Adressen, die zur Registrierung eines Kontos auf Frivol.com verwendet wurden, geschäftliche E-Mails sind, deren Domains sich leicht den betroffenen Unternehmen zuordnen lassen. „Der Vorfall zeigt, wie anfällig selbst kleinste Mengen personenbezogener Daten werden können, wenn sie nicht ordnungsgemäß vom Unternehmen behandelt werden. Er unterstreicht außerdem, wie wichtig es ist, persönliche und berufliche Online-Aktivitäten zu trennen“, stellten die Cybernews-Forscher fest.

Wahrscheinlich vermieden Nutzer die Registrierung mit ihrer privaten E-Mail, um ihre Präferenzen für Adult-Inhalte von ihrem Privat- und Familienleben fernzuhalten. Angreifer könnten diese Informationen ausnutzen, um Betroffene zu erpressen, indem sie damit drohen, ihre Aktivitäten gegenüber Angehörigen oder Arbeitgebern offenzulegen.

„Der Vorfall zeigt, wie anfällig selbst kleinste Mengen personenbezogener Daten werden können, wenn sie nicht ordnungsgemäß vom Unternehmen behandelt werden. Er unterstreicht außerdem die Bedeutung der Trennung von persönlichen und beruflichen Online-Aktivitäten sowie der Bewertung des eigenen digitalen Fußabdrucks“, stellten die Cybernews-Forscher fest.

Die Forscher kontaktierten das Unternehmen, nachdem sie die Frivol.com gehörende Kibana-Instanz entdeckt hatten. Obwohl die Amateur-Content-Website das Problem nicht anerkannte, wurde die exponierte Datenbank umgehend aus der öffentlichen Ansicht entfernt. Obwohl das Team keine Anzeichen dafür beobachtete, dass die offengelegten Daten missbraucht wurden, scannen Angreifer das Internet ständig mit automatisierten Tools, um exponierte Datenbanken aufzuspüren. Wenn unser Team sie finden konnte, konnten es auch Angreifer.

Auch wenn Datenlecks von Adult-Inhalten extrem sensibel sind, geben Unternehmen, die mit sensiblen Nutzerdaten arbeiten, diese immer wieder preis. Letztes Jahr entdeckte unser Team beispielsweise, dass zahlreiche BDSM-, LGBTQ+- und Sugar-Dating-Apps private Bilder ihrer Nutzer offenlegten – einige leakten sogar Fotos, die in privaten Nachrichten geteilt wurden.