Bei der Hype-App „Tea“ warnen sich Frauen vor Männern, denen man beim Dating nicht trauen kann. Nun stahlen Hacker Adressen, Fotos und Nachrichten. Und verwenden sie als Waffe.
Der Hype war riesig. Nachdem die Dating-Hilfe „Tea“ über Tiktok und andere soziale Medien viral gegangen war, schossen die Downloads und Anmeldungen nach oben. Tea war kurze Zeit in den USA die meist geladene kostenlose App in Apples App Store. Dann kam der Schock: Das Programm war gehackt worden – und unzählige Daten, Adressen und Fotos, mit denen sich Frauen vor gefährlichen Männern schützen wollten, sind auf einmal in der Hand erklärter Frauenfeinde.
Tea, das steht im Englischen auch für den Tratsch, den man beim Teetrinken austauscht. Und genau das war auch Kern der App. Welche Männer sollte man lieber meiden? Hat der Typ, den ich gerade kennenlerne, irgendwelche Leichen im Keller? Ist er gar vorbestraft? Und ist der Mann auf dem Profilbild wirklich der, mit dem ich gerade schreibe? All diese Fragen wollte Tea beantworten, um Frauen mehr Sicherheit beim Dating geben zu können. Doch das ging nach hinten los.
Tea wollte Frauen beim Dating schützen
Schuld sind ausgerechnet Maßnahmen, mit denen die App Sicherheit herstellen sollte. Um zu verifizieren, dass sich wirklich nur Frauen anmelden, muss man ein Selfie aufnehmen und ein Ausweisdokument hochladen. Nun haben Hacker diese Daten erbeutet – gemeinsam mit Posts, Kommentaren und Direktnachrichten unzähliger Frauen.
Der Hack war kein Zufall. Nachdem die App letzte Woche über Social-Posts enorm viel Aufmerksamkeit erzeugte, fühlten sich einige Männer offenbar angegriffen. Ein Teil der Kritik ist durchaus nachvollziehbar: Bei Tea können Frauen ohne Rücksprache Posts über Männer anlegen, für die Betroffenen gibt es keine Möglichkeit, sich gegen unberechtigte Vorwürfe zu wehren oder Falschbehauptungen zu korrigieren. Im für seinen Frauenhass berüchtigten Imageboard „4Chan“ ging es den Nutzern aber nicht darum, differenzierte Kritik zu äußern. Man wollte Rache. Und rief zu einer „Hack and Leak“-Kampagne auf. Das Ziel: Die Frauen, die hier Männer an den Pranger stellten, selbst zur Zielscheibe zu machen.
Die Kampagne hatte Erfolg. Schon einen Tag nach dem Aufruf tauchte nach einem Bericht von „404 Media“ die erste Ladung gestohlener Daten auf. 72.000 Bilder hatten die Angreifer wegen unzureichender Schutzmaßnahmen von den Servern der App erbeuten können, sie wurden als Paket zum Download angeboten. Bei 13.000 der Bilder handelt es sich um Verifizierungsselfies und Ausweis-Dokumente – obwohl diese nach Angaben der App eigentlich gar nicht gespeichert werden sollten. Tea hat die Attacke mittlerweile bestätigt. Nach Angaben des Security-Influencers Frank Niu sei der Begriff Hack allerdings irreführend. „Sie haben praktisch gar keine Sicherheits-Maßnahmen genutzt, jeder hätte diese Informationen ziemlich einfach finden können“, erklärt er in einem Tiktok-Clip.
Am Montag wurde noch eine weitere Lücke bekannt. Einem Sicherheits-Forscher war es gelungen, eine zweite Datenbank anzuzapfen, die Millionen von Direktnachrichten aus dem Dienst enthielt, in denen auch hochsensible Themen wie Abtreibungen besprochen wurden. Nach Angaben des Experten gibt es Hinweise, dass auch weitere unbefugte Personen sich Zugang zu dieser Datenbank verschafft hatten. „Wir haben herausgefunden, dass im Rahmen des ersten Angriffs auf einige persönliche Nachrichten zugegriffen wurde“, erklärte Tea auf Anfrage von „NBC“. Man habe die Systeme daher aus Sicherheitsgründen offline genommen. Noch sei aber nicht klar, ob auch über die zweite Lücke aktiv Daten abgegriffen wurden.
Schutz-Daten als Waffe
Die Nutzer bei „4Chan“ warteten nicht lange damit, die Daten auch zu benutzen. Sie verbreiteten Profile der „Opfer“ des Dienstes, also der bewerteten Männer, luden die Verifikationsfotos der Frauen bei Webseiten hoch, bei denen man das Aussehen bewerten kann. Eine eigens kreierte Webseite erlaubte es, die gestohlenen Profile zu durchforsten und in einer Art Bestenliste miteinander zu vergleichen. Ein Nutzer erstellte sogar eine Karte, auf der alle gefundenen Adressen von Nutzerinnen gelistet sind, berichtete die „New York Times„. Ob Frauen durch die geleakten Daten persönlich kontaktiert wurden, ist bislang nicht bekannt.
Tea betonte indes, dass man die gestohlenen Daten nicht einzelnen Profilen zuordnen kann. Zumindest bei den Identitätsnachweisen lässt sich diese Behauptung kaum nachvollziehen.
Erste Klage eingereicht
Wie viel Verantwortung Tea an dem Daten-Desaster hat, dürften demnächst Gerichte entscheiden. Erste Betroffene haben bereits Klage eingereicht. Griselda Reyes aus dem US-Bundesstaat Kalifornien will Tea „für den Schaden, der ihr entstanden ist und weiter entsteht“ zur Verantwortung ziehen. Die Sammelklage soll auch „den Tausenden weiteren von dieser massiven und vermeidbaren Cyberattacke betroffenen Personen“ offenstehen, um sich ihr anzuschließen, heißt es in den Gerichtsunterlagen.
Aus der anderen Richtung waren Klagen gegen Dienste dieser Art bisher erfolglos. Anfang des Jahres hatte ein Mann versucht, gegen eine Facebook-Gruppe vorzugehen, die ähnlich wie Tea vor Männern warnte. Die Klage wurde abgewiesen.
Quellen:Tea, 404 Media, NBC, New York Times, Klageschrift, X