Meetone: Flirtportal kopierte Adressbücher und verschickte Spam

Von

Das Flirtportal Meetone hat mit zweifelhaften Methoden neue Mitglieder geködert: Spam-E-Mails versprachen Botschaften attraktiver Damen und Herren. Die E-Mail-Adressen stammen offenbar aus Smartphone-Adressbüchern, die Meetone ohne Erlaubnis kopierte.

Meetone: Flirtportal warb mit zweifelhaften Methoden Fotos
YouTube

Hamburg - Eine Dame im roten Latexkostüm schwingt die Peitsche, zwei Frauen in String-Tangas tanzen, dazu singt jemand "Want to meet one for hell?" Mit solchen Clips wirbt das Flirtportal Meetone seit Monaten im Fernsehen. Botschaft des Spots: "Einfach die richtigen Leute treffen. Jetzt auf Meetone.de".

Internetnutzer haben Meetone in den vergangenen Monaten ganz anders kennengelernt. Obwohl sie sich nie bei diesem Portal registriert hatten, erhielten sie Werbe-E-Mails von Meetone. Die Machart ist immer die gleiche. Die Betreffzeile verspricht "Neue Mitteilung von Sveta" oder "Anna" oder "Julia", in der E-Mail ist dann ein Link zur Anmeldung bei Meetone zu finden, registrieren sich die Empfänger bei dem Portal, ist die versprochene Nachricht nicht zu finden.

SPIEGEL ONLINE liegen mehrere dieser Nachrichten aus dem Mai und Juli dieses Jahres vor. Die Empfänger versichern, sich nie bei Meetone registriert zu haben und die in den Nachrichten genannten Personen nicht zu kennen. Seit Monaten klagen Nutzer über Meetone-Spam. Meetone äußert sich zu dem Spam-Versand nicht, streitet die strittige Werbung allerdings auch nicht ab.

Wie kommt die Firma an diese E-Mail-Adressen?

Offenbar wurden die Adressbücher von iPhones, Android-Smartphones oder E-Mail-Dienstleistern registrierter Meetone-Kunden ausgelesen und für den Versand der unerwünschten und täuschenden Werbung genutzt. Nach eigenen Angaben sind bei Meetone rund 900.000 Kunden registriert.

Auf der Mailingliste Full Disclosure berichtet ein Entwickler, er habe den Netzwerkverkehr der Meetone-App analysiert und dabei festgestellt, dass das Programm ohne Erlaubnis des Nutzers das gesamte Adressbuch an die Server des Anbieters verschickt. Die Android-App des Anbieters setzt die Berechtigung voraus, unter anderem das gesamte Adressbuch auszulesen. Apple will den Fall nicht kommentieren, Google hat auf Anfragen nicht geantwortet.

Die Geschäftsführerin der Meetone GmbH, Liudmila Sukhareva, stellt das Auslesen von Adressbüchern durch die App als Versehen dar: "Die bemängelte Version der App verwendet das 'native iOS SDK feature of connection to Contacs App', so dass in Einzelfällen auf Kontakte zugegriffen werden konnte." Durch einen Fehler sei diese Version online gestellt worden. Man habe am 1. August - zeitlich also im Zusammenhang mit der Anfrage von SPIEGEL ONLINE - eine neue Version bei Apple einreichen lassen, die SSL verschlüssele und nicht mehr auf Kontakte zugreife. Alle ausgelesenen Kontakte seien sofort gelöscht worden. Auch eine neue Version der Android-App habe man eingereicht, die sei "SSL-verschlüsselt".

iPhone-Adressbücher für Werbe-E-Mails?

Es sieht danach aus, dass Meetone die so gewonnen Adressen zum Spam-Versand nutzte. Ein Betroffener berichtet, dass in seiner Abteilung in einer Firma zeitgleich alle Kollegen solche Nachrichten erhalten haben. Später stellte sich heraus, dass einer der Mitarbeiter die Meetone-iPhone-App installiert hatte, auch bei Testadressen aus seinem iPhone-Adressbuch seien Spam-Mails von Meetone eingegangen. Fragen zum Umfang der gesammelten Adressen und deren Verwendung hat Meetone nicht beantwortet. Auch die Fragen, woher die E-Mail-Adressen stammen, an die die Werbung versendet wurde, lässt Meetone unbeantwortet.

Der Vorgang ist ungewöhnlich, schließlich handelt es sich bei Meetone nicht um irgendein obskures Unternehmen. An der deutschen Meetone-GmbH sind bekannte Investoren beteiligt: ProSiebenSat.1, der Bigpoint-Gründer Heiko Hubertz und Peter Kabel.

Schwerwiegende Sicherheitslücken

Meetone ist nicht nur durch den Spam-Versand negativ aufgefallen. In der Analyse auf Full Disclosure beschreibt der Autor massive Sicherheitslücken bei Meetone. Durch einfache Serveranfragen konnte jedermann Klartext-Passwörter, E-Mail-Adressen und Echtnamen der rund 900.000 Mitglieder auslesen. Der Fachdienst Heise Security konnte die Sicherheitslücke bei einem Test ausnutzen, außerdem sollen Profilangaben wie sexuelle Präferenzen und die Bereitschaft zu One-Night-Stands abrufbar gewesen sein.

Meetone-Geschäftführerin Sukhareva räumt ein, dass bei den Meetone-Apps "keine Verschlüsselung bei der Kommunikation zwischen App und Server eingesetzt" wurde. Nach einem Hinweis von Heise Security habe man die Schwachstelle binnen zwei Stunden geschlossen, außerdem sollen die neuen Versionen der Smartphones-Apps Daten verschlüsselt übertragen.

Zur Überprüfung des Ausmaßes potentieller Datenverluste seien alle Logfiles der Meetone Server ausgewertet worden. Dabei habe man keine Unregelmäßigkeiten festgestellt, bis auf Zugriffe von Heise und von einem Wettbewerber. Heise versichert, die gelöscht zu haben, der Wettbewerber hat Sukhareva zufolge nur 20 Datensätze abgerufen. Meetone ist der Ansicht, man könnte einen Datenverlust ausschließen, dennoch habe man alle Passwörter vorsorglich geändert und die Nutzer informiert. Im Übrigen hätten nur E-Mail-Adresse und Passwort abgegriffen werden können, nicht aber sonstige "sensible Daten".

Als Betreiber fungiert eine US-Firma

Die rechtliche Konstruktion der Meetone-Firmengruppe ist interessant: Teile des Geschäfts wurden dieses Jahr von Hamburg in die USA verlegt. Mitte März 2012 wurde im US-Bundesstaat Delaware das Unternehmen Meetone International LLC gegründet. Laut der GmbH-Geschäftführerin Sukhareva wurden "Plattformbetrieb und Datenverarbeitung" im "Zuge der Internationalisierung" in den USA gebündelt.

Im iTunes Store tritt als Anbieter der Meetone-App die Hamburger Weppo GmbH auf, im Android Play Store die Meetone Gmbh. Es handelt sich um dasselbe Unternehmen, 2009 als Weppo GmbH gegründet, 2011 umbenannt.

Wer das US-Unternehmen leitet, ist unklar. Ein Vorteil für Firmen in Delaware ist, dass man im dortigen Handelsregister nicht unbedingt etwas über Gesellschafter und Manager einer Firma erfährt. Das ist bei der Meetone LLC der Fall. Das Unternehmen beantwortet Fragen dazu nicht. Am angegebenen Firmensitz ist eine Vielzahl weiterer Firmen ansässig - darunter kanadische Hochzeitsberater, Immobilienmanager aus Philadelphia und Flugzeughändler.

Das Unternehmen kündigt nun an, das Europa-Geschäft in Zukunft "eigenständig und separiert über eine Europäische Gesellschaft" betreiben zu wollen und die Angebote entsprechend "geltender Datenschutz- und Sicherheitsbestimmungen zertifizieren" zu lassen. Seit dem 1. August hat die deutsche GmbH einen neuen Geschäftsführer, Sven Jan Arndt. Der Manager hat früher Neu.de geleitet und vom TÜV zertifizieren lassen.

Der Autor auf Facebook

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum - Diskutieren Sie über diesen Artikel
insgesamt 16 Beiträge
Alle Kommentare öffnen
    Seite 1    
1.
sabaro4711 02.08.2012
Waren das nicht die, die bei der letzten Superbowl-Übertragung auf Pro7 die Fans im Minutentakt mit ihrem Werbespot belästigt haben? Ich denke, die gehören auch zu Sat1/Pro7... ProSieben kauft Anteile von MeetOne | Gründerszene (http://www.gruenderszene.de/news/pro-sieben-kauft-anteile-von-meetone)
2. Allerdings!!
thomase00 02.08.2012
Zitat von sabaro4711Waren das nicht die, die bei der letzten Superbowl-Übertragung auf Pro7 die Fans im Minutentakt mit ihrem Werbespot belästigt haben? Ich denke, die gehören auch zu Sat1/Pro7... ProSieben kauft Anteile von MeetOne | Gründerszene (http://www.gruenderszene.de/news/pro-sieben-kauft-anteile-von-meetone)
An diese Katastrophe kann ich mich auch noch erinnern. Ich wär fast ausgetickt. Sicher 200 mal ausgestrahl worden an dem Abend und ich wusste danach 100 %ig, bei welchem Portal ich mich niemals anmelden werde. Dazu noch bei jeder Gelegenheit "Avicii - Levels" angespielt. Schlimmer kann man ein solches Sportereignis gar nicht verhunzen.
3. Die fallen nur schlecht auf
djchrisi 02.08.2012
Zitat von sysopDas Flirtportal Meetone hat mit zweifelhaften Methoden neue Mitglieder geködert: Spam-Mails versprachen Botschaften attraktiver Damen und Herren. Die E-Mail-Adressen stammen offenbar aus Smartphone-Adressbüchern, die Meetone ohne Erlaubnis kopierte. Meetone: Flirtportal kopierte Adressbücher und verschickte Spam - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/web/0,1518,847782,00.html)
e Die haben doch die SAT1 Super Bowl Übertragung mit Dauerwerbung sabotiert. Wad doch klar dass die nur übel sein können. Ich kann nur hoffen das die alle in den Knast kommen.
4. Im Internet ist fast alles nur bla bla
blob123y 02.08.2012
Zitat von sysopDas Flirtportal Meetone hat mit zweifelhaften Methoden neue Mitglieder geködert: Spam-Mails versprachen Botschaften attraktiver Damen und Herren. Die E-Mail-Adressen stammen offenbar aus Smartphone-Adressbüchern, die Meetone ohne Erlaubnis kopierte. Meetone: Flirtportal kopierte Adressbücher und verschickte Spam - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/web/0,1518,847782,00.html)
heisse Luft und zweifelhaft wer das noch nicht mitbekommen hat ist selbst schuld. Es gibt NIRGENDWO irgenwelche qualifizierte leute, alles nur Amateure die sich ueber bla bla qualifizieren. Der Top of the Pop ist hier wie so oft Google, die kein Geld haben um einen qualifizierten Support zu bieten und deshalb Freiwillige ohne Bezahlung den Job in den Foren etc. machen laess, Relevanz der Hilfe in etwa 15%. Ich habe in den letzten 10 Jahren 54 mal bei Adsense um Hilfe gefragt, relevanz der tatsaechlichen Hilfe war 3 mal von 54 bei Goggle search ist, noch schlimmer da ist es in etwa 1 mal per 1000. Die eindeutigen Highlights in der Hilfe sind Firmen aus Russland die verschiedene recht gute Software verkaufen und IMMER innerhalb 12 Stunden eine Top Antwort liefern. Amis verstehn Service nicht bei denen wird alles weggeschoben was irgendwie Geld kostet, man muss sich das auf der "Zunge" zergehen lassen, Google zahlt die Leute nicht die die Arbeit erledigen macht aber jedes Quartal ein paar Milliarden Gewinn, was geht in den Koepfen dieser Leute im sozialen Bereich vor? Die behandeln die Leute schlimmer wie Hemdknopfannaeheringen in Bangladesh die wenigstens bezahlt werden und deshalb wenigstens eine minimal Ausbildung bekommen.
5.
_Netizen 02.08.2012
Zitat von sysopDas Flirtportal Meetone hat mit zweifelhaften Methoden neue Mitglieder geködert: Spam-Mails versprachen Botschaften attraktiver Damen und Herren. Die E-Mail-Adressen stammen offenbar aus Smartphone-Adressbüchern, die Meetone ohne Erlaubnis kopierte. Meetone: Flirtportal kopierte Adressbücher und verschickte Spam - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/web/0,1518,847782,00.html)
Bemerkenswert, wie bei solchen Projekten immer wieder selbst grundlegenste Sicherheitsprinzipien (z.B. *keine* Klartextpasswörter zu speichern) mißachtet werden. Sind dort überall nur noch Aushilfskräfte am Werk?
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Datenschutz
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 16 Kommentare
  • Zur Startseite
Grundsatzurteile zum Datenschutz
Informationelle Selbstbestimmung
15. Dezember 1983: Karlsruhe kippt mit dem erstmals ausgesprochenen "Grundrecht auf informationelle Selbstbestimmung" das Volkszählungsgesetz. Damit hätten Daten ans Melderegister, an Bundes- und Landesbehörden, an Gemeinden und deren Verbände weitergegeben werden dürfen. Das Volkszählungsurteil ist wegweisend für den Datenschutz.
Großer Lauschangriff
3. März 2004: Der sogenannte Große Lauschangriff verletzt nach Auffassung des Bundesverfassungsgericht die Menschenwürde und ist deshalb im Wesentlichen verfassungswidrig. Die 1998 eingeführte akustische Überwachung von Wohnungen muss an deutlich strengere Voraussetzungen geknüpft werden. Die Richter mahnen einen stärkeren Schutz der Privatsphäre an.
Online-Durchsuchungen
27. Februar 2008: Für Online-Durchsuchungen setzt das Bundesverfassungsgericht hohe rechtliche Hürden. Das heimliche Ausspähen der Computerfestplatte ist nur zulässig, "wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen". Eine entsprechende Befugnis des nordrhein-westfälischen Verfassungsschutzes sei nichtig. Mit dieser Entscheidung schaffen die Richter ein Computergrundrecht, das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme".


E-Book-Tipp
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon bestellen.