Nutzer und Performer des Camseiten-Betreibers VTS Media sind Opfer eines riesigen Datenlecks geworden. Die teilweise sensiblen Daten sollen aufgrund einer unverschlüsselten Datenbank monatelang einsehbar gewesen sein.
Die Cam-Angebote Amateur.tv, PlacerCams.com und WebcamPornoxxx.net des spanischen Webcam-Unternehmens VTS Media haben offenbar zwischen Ende Mai und Anfang September versehentlich die Daten ihrer Darsteller und Kunden für Fremde zugänglich gehabt.
Laut Angaben von TechCrunch waren die Logs des Netzwerks der VTS-Seiten monatelang leicht aufzurufen. Neben den Nutzerdaten sollten auch Privatinformationen der Performer offen zugänglich gewesen sein. Dazu gehörten selbst detaillierte Informationen wie Einlogversuche, Nutzernamen, IP-Adressen und sogar Passwörter und Chat-Nachrichten zwischen den Nutzern.
Aufgefallen war die kritische Lücke in der Datenbank des Cam-Netzwerks der Cybersecurity-Firma Condition:Black. Zwar wurde das Problem inzwischen behoben, doch Sicherheitsexperte John Wethington meint: »Dies war ein ernsthaftes Versagen aus technischer und regulatorischer Sicht. Nach Durchsicht der Privacy Policy und der AGB des Unternehmens ist es klar, dass die Nutzer vermutlich keinerlei Ahnung davon hatten, dass ihre Aktivitäten in diesem Umfang und so detailliert aufgezeichnet wurden.«
Inzwischen hat sich auch VTS Media mit einer Erklärung an die Öffentlichkeit gewendet. Das Unternehmen versicherte, mit der spanischen Datenschutzbehörde zu kooperieren und Maßnahmen einzuleiten, um ähnliche Vorfälle in der Zukunft zu vermeiden.
Allerdings spielt das Unternehmen das Problem zeitgleich herunter und bestreitet die Analyse von Condition: Black. Laut VTS Media ist die Behauptung, dass Millionen von Nutzern betroffen gewesen seien, überzogen. Insgesamt seien etwa 330.000 Nutzer betroffen.
Ein Vertreter des Unternehmens sagt: »Die Daten in unserer Hauptdatenbank ist verschlüsselt und unzugänglich. Keinerlei Zahlungs-, Rechnungs-, Kreditkarten oder Passwortdaten sind öffentlich geworden. Die Zahlungsabwicklung wird von einem externen Unternehmen durchgeführt, das auf die Handhabung mit solch sensiblen Daten spezialisiert ist. Die Passwörter unserer Nutzer sind nicht kompromittiert worden und werden nicht als Textdatei offen vorrätig gehalten; daher müssen sie auch von den Nutzern nicht geändert werden.«
Laut VTS Media seien ausschließlich technische Log-Daten zugänglich gewesen, die nach sechs Monaten automatisch gelöscht werden, Daten, die ausschließlich für interne Analysen und Berichte ausgewertet und genutzt würden. Verletzlich waren dabei dennoch E-Mail-Adressen und IP-Adressen, allerdings nicht das Passwort, versichert VTS. Was die Datensicherheitsfirma in ihrem Bericht gefunden habe, seien nicht Passwörter, sondern fehlgeschlagene Login-Versuche mit falschen Passworteingaben.
Bei den Darstellern und Performern sei die Lage noch weitaus weniger dramatisch als von dem Sicherheitsunternehmen dargestellt. Lediglich 0.5% der Darsteller-Accounts seien betroffen gewesen. Die betroffenen Darsteller würden von VTS Media kontaktiert werden. Das Unternehmen ist bemüht, besorgte Kunden und Performer zu beruhigen. So habe außer der Sicherheitsfirma und VTS Media selbst dem Wissen des Unternehmens nach niemand Kenntnis von der Sicherheitslücke gehabt und somit die Daten auch nicht missbrauchen können.
Weitere Informationen finden Sie auf der Webseite des Anbieters.