Meetone: Flirtportal kopierte Adressbücher und verschickte Spam (Spiegel Online, 2.8.2012)
Meetone
Flirtportal kopierte Adressbücher und verschickte Spam
Das Flirtportal Meetone hat mit zweifelhaften Methoden neue Mitglieder geködert: Spam-E-Mails versprachen Botschaften attraktiver Damen und Herren. Die E-Mail-Adressen stammen offenbar aus Smartphone-Adressbüchern, die Meetone ohne Erlaubnis kopierte.
Spiegel Online, 2.8.2012
{jumi [*3]}
Hamburg – Eine Dame im roten Latexkostüm schwingt die Peitsche, zwei Frauen in String-Tangas tanzen, dazu singt jemand “Want to meet one for hell?” Mit solchen Clips wirbt das Flirtportal Meetone seit Monaten im Fernsehen. Botschaft des Spots: “Einfach die richtigen Leute treffen. Jetzt auf Meetone.de”.
Internetnutzer haben Meetone in den vergangenen Monaten ganz anders kennengelernt. Obwohl sie sich nie bei diesem Portal registriert hatten, erhielten sie Werbe-E-Mails von Meetone. Die Machart ist immer die gleiche. Die Betreffzeile verspricht “Neue Mitteilung von Sveta” oder “Anna” oder “Julia”, in der E-Mail ist dann ein Link zur Anmeldung bei Meetone zu finden, registrieren sich die Empfänger bei dem Portal, ist die versprochene Nachricht nicht zu finden.
SPIEGEL ONLINE liegen mehrere dieser Nachrichten aus dem Mai und Juli dieses Jahres vor. Die Empfänger versichern, sich nie bei Meetone registriert zu haben und die in den Nachrichten genannten Personen nicht zu kennen. SeitMonaten klagen Nutzer über Meetone-Spam. Meetone äußert sich zu dem Spam-Versand nicht, streitet die strittige Werbung allerdings auch nicht ab.
Wie kommt die Firma an diese E-Mail-Adressen?
Offenbar wurden die Adressbücher von iPhones, Android-Smartphones oder E-Mail-Dienstleistern registrierter Meetone-Kunden ausgelesen und für den Versand der unerwünschten und täuschenden Werbung genutzt. Nach eigenen Angaben sind bei Meetone rund 900.000 Kunden registriert.
Auf der Mailingliste Full Disclosure berichtet ein Entwickler, er habe den Netzwerkverkehr der Meetone-App analysiert und dabei festgestellt, dass das Programm ohne Erlaubnis des Nutzers das gesamte Adressbuch an die Server des Anbieters verschickt. Die Android-App des Anbieters setzt die Berechtigung voraus, unter anderem das gesamte Adressbuch auszulesen. Apple will den Fall nicht kommentieren, Google hat auf Anfragen nicht geantwortet.
Die Geschäftsführerin der Meetone GmbH, Liudmila Sukhareva, stellt das Auslesen von Adressbüchern durch die App als Versehen dar: “Die bemängelte Version der App verwendet das ‘native iOS SDK feature of connection to Contacs App’, so dass in Einzelfällen auf Kontakte zugegriffen werden konnte.” Durch einen Fehler sei diese Version online gestellt worden. Man habe am 1. August – zeitlich also im Zusammenhang mit der Anfrage von SPIEGEL ONLINE – eine neue Version bei Apple einreichen lassen, die SSL verschlüssele und nicht mehr auf Kontakte zugreife. Alle ausgelesenen Kontakte seien sofort gelöscht worden. Auch eine neue Version der Android-App habe man eingereicht, die sei “SSL-verschlüsselt”.
iPhone-Adressbücher für Werbe-E-Mails?
Es sieht danach aus, dass Meetone die so gewonnen Adressen zum Spam-Versand nutzte. Ein Betroffener berichtet, dass in seiner Abteilung in einer Firma zeitgleich alle Kollegen solche Nachrichten erhalten haben. Später stellte sich heraus, dass einer der Mitarbeiter die Meetone-iPhone-App installiert hatte, auch bei Testadressen aus seinem iPhone-Adressbuch seien Spam-Mails von Meetone eingegangen. Fragen zum Umfang der gesammelten Adressen und deren Verwendung hat Meetone nicht beantwortet. Auch die Fragen, woher die E-Mail-Adressen stammen, an die die Werbung versendet wurde, lässt Meetone unbeantwortet.
Der Vorgang ist ungewöhnlich, schließlich handelt es sich bei Meetone nicht um irgendein obskures Unternehmen. An der deutschen Meetone-GmbH sind bekannte Investoren beteiligt: ProSiebenSat.1, der Bigpoint-Gründer Heiko Hubertzund Peter Kabel.
Schwerwiegende Sicherheitslücken
Meetone ist nicht nur durch den Spam-Versand negativ aufgefallen. In der Analyse auf Full Disclosure beschreibt der Autor massive Sicherheitslücken bei Meetone. Durch einfache Serveranfragen konnte jedermann Klartext-Passwörter, E-Mail-Adressen und Echtnamen der rund 900.000 Mitglieder auslesen. Der Fachdienst Heise Security konnte die Sicherheitslücke bei einem Test ausnutzen, außerdem sollen Profilangaben wie sexuelle Präferenzen und die Bereitschaft zu One-Night-Stands abrufbar gewesen sein.
Meetone-Geschäftführerin Sukhareva räumt ein, dass bei den Meetone-Apps “keine Verschlüsselung bei der Kommunikation zwischen App und Server eingesetzt” wurde. Nach einem Hinweis von Heise Security habe man die Schwachstelle binnen zwei Stunden geschlossen, außerdem sollen die neuen Versionen der Smartphones-Apps Daten verschlüsselt übertragen.
Zur Überprüfung des Ausmaßes potentieller Datenverluste seien alle Logfiles der Meetone Server ausgewertet worden. Dabei habe man keine Unregelmäßigkeiten festgestellt, bis auf Zugriffe von Heise und von einem Wettbewerber. Heise versichert, die gelöscht zu haben, der Wettbewerber hat Sukhareva zufolge nur 20 Datensätze abgerufen. Meetone ist der Ansicht, man könnte einen Datenverlust ausschließen, dennoch habe man alle Passwörter vorsorglich geändert und die Nutzer informiert. Im Übrigen hätten nur E-Mail-Adresse und Passwort abgegriffen werden können, nicht aber sonstige “sensible Daten”.
Als Betreiber fungiert eine US-Firma
Die rechtliche Konstruktion der Meetone-Firmengruppe ist interessant: Teile des Geschäfts wurden dieses Jahr von Hamburg in die USA verlegt. Mitte März 2012 wurde im US-Bundesstaat Delaware das Unternehmen Meetone International LLC gegründet. Laut der GmbH-Geschäftführerin Sukhareva wurden “Plattformbetrieb und Datenverarbeitung” im “Zuge der Internationalisierung” in den USA gebündelt.
Im iTunes Store tritt als Anbieter der Meetone-App die Hamburger Weppo GmbH auf, im Android Play Store die Meetone Gmbh. Es handelt sich um dasselbe Unternehmen, 2009 als Weppo GmbH gegründet, 2011 umbenannt.
Wer das US-Unternehmen leitet, ist unklar. Ein Vorteil für Firmen in Delaware ist, dass man im dortigen Handelsregister nicht unbedingt etwas über Gesellschafter und Manager einer Firma erfährt. Das ist bei der Meetone LLC der Fall. Das Unternehmen beantwortet Fragen dazu nicht. Am angegebenen Firmensitz ist eine Vielzahl weiterer Firmen ansässig – darunter kanadische Hochzeitsberater, Immobilienmanager aus Philadelphia und Flugzeughändler.
Das Unternehmen kündigt nun an, das Europa-Geschäft in Zukunft “eigenständig und separiert über eine Europäische Gesellschaft” betreiben zu wollen und die Angebote entsprechend “geltender Datenschutz- und Sicherheitsbestimmungen zertifizieren” zu lassen. Seit dem 1. August hat die deutsche GmbH einen neuen Geschäftsführer, Sven Jan Arndt. Der Manager hat früher Neu.de geleitet und vom TÜV zertifizieren lassen.