800.000 Kardashian-Fans von schwerwiegender Datenpanne betroffen

Der 19-jährige Web-Entwickler Alaxic Smith lud Kylie Jenners App aus reiner Neugier herunter und untersuchte Ihre Website.

In einem Blog-Eintrag mit dem Titel „The Insecurities of the Kardashians: Kim isn’t as Popular as Kylie“ beschrieb er, was sich danach ereignete:

Ich beschloss, mich umzusehen, um den Aufbau der Seite besser zu verstehen. Bei genauerem Hinsehen habe ich eine JavaScript-Datei mit dem Namen kylie.min.75c4ceae105ad8689f88270895e77cb0_gz.js gefunden. Danach habe ich mich spaßeshalber entschlossen, diese Datei zu „un-minifizieren“, um herauszufinden, welche Nutzerdaten dort gesammelt werden und welche anderen Werte vielleicht nachverfolgt werden. Ich sah eine Reihe von API-Aufrufen, was aber vollkommen normal erschien. Ich gab einige dieser Endpunkte in meinen Browser ein und erhielt wie erwartet eine Fehlermeldung.

Als sich Smith danach jedoch mit seinem Benutzernamen und Passwort bei der Seite anmeldete, erhielt er weit mehr Informationen – ihm wurde schnell klar, dass er auf die Namen und E-Mail-Adressen von 663.270 angemeldeten Kylie-Jenner-Fans zugreifen konnte.

Smith bemerkte zudem, dass er über die offene und ungesicherte API auch Benutzer, Fotos und Videos anlegen und entfernen konnte. Und das nicht nur auf der Website von Kylie Jenner, sondern auch auf denen von Kim Kardashian, Khloe Kardashian und Kendall Jenner. (Schlechte Nachrichten Mädels, ihr habt zwar gemeinsam rund 200.000 Fans – das ist aber nichts im Vergleich zu Kylie.)

Smith gibt an, dass er sich bereits an Whalerock Digital Me, die Firma hinter den Apps des Kardashian-Clans, gewandt hat, um sie auf eine Möglichkeit zur Lösung dieses Problems aufmerksam zu machen. Als sich die Medien auf das Thema stürzten, entschloss sich Smith jedoch, seinen Blog-Eintrag zu löschen, auch wenn sich im Web noch Kopien davon finden lassen.

Whalerock Digital Media bestätigte, dass die Nutzerdaten zugänglich waren, und sagte gegenüber TechCrunch:

„Kurz nach dem Start wurden wir auf eine offene API hingewiesen. Sie wurde umgehend geschlossen. Unsere Protokolle zeigen, dass der Autor des Blog-Eintrags nur auf eine begrenzte Anzahl von Namen und E-Mail-Adressen zugreifen konnte. Unsere Protokolle weisen zudem darauf hin, dass sonst niemand Zugang hatte und dass keinerlei Passwörter oder Zahlungsinformationen offengelegt wurden. Die Sicherheit unserer Kundendaten hat bei uns höchste Priorität.“

Es ist natürlich eine große Erleichterung, dass die Zahlungsdaten der Kardashian-Fans nicht auf den Whalerock-Servern gespeichert wurden. Aber es bedarf nur wenig Fantasie, sich vorzustellen, wie Kriminelle die Kontaktdaten von fast einer Million treuen Fans für ihre Zwecke hätten ausnutzen können, so zum Beispiel für Spam- oder Phishing-Kampagnen.

Denken Sie immer daran, Malware, Phishing und Schwachstellen sind nicht die einzigen möglichen Sicherheitsrisiken, die sich auf Ihr Smartphone auswirken könnten. Eine weitere, häufig vergessene Bedrohung geht auch von seriösen Apps aus, die Sie selbst installieren – können Sie sich immer sicher sein, dass die App-Entwickler Ihre Daten mit der notwendigen Sorgfalt behandeln und sich Gedanken darüber gemacht haben, wie sie diese vor dem Zugriff durch unbefugte Dritte schützen können?

Apps werden häufig unter Zeitdruck entwickelt, da werden gerne Abkürzungen genommen und Sicherheit und Privatsphäre gelten nicht immer als Priorität.

Die Kardashians scheint es nicht zu stören, dass jedes noch so private Detail ihrer Leben aufgezeichnet und einer breiten öffentlichkeit zugänglich gemacht wird. Das heißt aber nicht, dass Sie Ihre persönlichen Informationen ebenso gerne für Jedermann offenlegen möchten.

rn