Start-up-Probleme: Datenklau bei Mister Spex – Meetone mutiert zur Spamschleuder

Mit Flirtdienst Meetone (www.meetone.de) und dem Brillenhändler Mister Spex (www.misterspex.de) stehen momentan – mal wieder – zwei Start-up im Mittelpunkt, die mit erheblichen Problemen kämpfen. Am Donnerstag wies Mister Spex seine rund 400.000 Kunden per Mail und auf der Website darauf hin, dass sich Unbekannte Zugriff auf das System des Brillenshops verschafft und eventuell Adressdaten und Passwörter kopiert hätten. Beim Flirtdienst Meetone gab es sogar ein Datenleck, über das jeder auf Passwörter und Mailadressen der rund 900.000 Nutzer zugreifen konnte. Doch damit nicht genug: Das Start-up soll zudem die Smartphone-Adressbücher seiner Nutzer ausgelesen haben und die Adressen für den Versand von Spammail genutzt haben.

In diesen Spammails gaukelt Meetone den Empfängern vor, dass sie eine Nachricht von einem MeetOne-Nutzer erhalten haben. Die Betreffzeilen der Mails lauten beispielsweise “Neue Mitteilung von Anna”, “Neue Mitteilung von Sandra” oder “Neue Mitteilung von Toni”. Nach einem Klick auf einen der Links in der Spam-Mail landet man auf der Anmeldeseite von Meetone. Die angebliche Nachricht ist dann aber nicht mehr als ein “Willkommen bei MeetOne”. In einem Bericht bei “Spiegel Online” berichtet ein Betroffener, dass in seiner Firma alle Kollegen einer Abteilung solche Nachrichten erhalten hätten: “Später stellte sich heraus, dass einer der Mitarbeiter die Meetone-iPhone-App installiert hatte, auch bei Testadressen aus seinem iPhone-Adressbuch seien Spam-Mails von Meetone eingegangen”.

Laut Meetone-Geschäftsführerin Liudmila Sukhareva war das Auslesen von Adressbüchern durch die App aber nur ein Versehen: “Die bemängelte Version der App verwendet das ‘native iOS SDK feature of connection to Contacs App’, so dass in Einzelfällen auf Kontakte zugegriffen werden konnte.” Durch einen Fehler sei diese Version online gestellt worden. Ein schwerwiegender Fehler! Durch dieses angebliche Versehen dürften nun alle wichtigen Daten (vor allem E-Mail-Adressen und Passwort) der rund 900.000 Kunden im Netz kursieren. Meetone bestreitet dies – theoretisch könnte dies aber der Fall sein, da es sehr einfach war, diese Daten zuziehen: Um an alle Daten zu kommen, musste man lediglich einen URL-Parameter – in diesem Fall die memberId – hochzählen. Erst nachdem “heise Security” den Flitdienst Ende Juli über die Sicherheitslücke informierte, wurde diese geschlossen. Den Spam-Versand an die offenbar kompletten Adressbücher der registrierten Nutzer erklärt dieses angebliche Versehen aber nicht. Merkwürdig in diesem Zusammenhang ist auch die neue Konstruktion hinter Meetone: Das Start-up wird inzwischen von der amerikanischen meetOne International LLC. betrieben. Die Hamburger meetOne GmbH scheint nur noch Dienstleister des US-Unternehmens zu sein.

Gegen diese Machenschaften bei einem Start-up, das immerhin von ProSiebenSat.1 und Bigpoint-Gründer Heiko Hubertz unterstützt wird, erscheint der Datenklau bei Mister Spex schon fast mickrig. Ist er aber natürlich nicht, denn ein Problem ist eine solche gravierende Sicherheitslücke auf jeden Fall. “Den unerlaubten Datenzugriff auf unser System haben wir nach Kenntnisnahme schnellstmöglich unterbunden. Die Datenschutzbehörde ist informiert. Wichtig: Zahlungsinformationen wie Kreditkarten- und Bankdaten sind nicht betroffen, da wir diese grundsätzlich nicht speichern”, schreibt Dirk Graber, Geschäftsführer von Mister Spex. Dennoch sollten alle Nutzer von Mister Spex und auch von MeetOne, die das dort genutzte Passwort auch bei anderen Diensten nutzen dieses überall ändern. Sicher ist sicher!

Artikel zum Thema
* ProSiebenSat.1 steigt beim Flirtdienst MeetOne ein