NERDMANAnti-Porno-App leakt intimste Nutzerdaten monatelang
Eine App, die Männern beim Aufhören mit Pornos helfen soll, hat monatelang sensible Nutzerdaten offen im Netz liegen lassen. Mindestens drei Hacker warnten die Macher von Quittr — die ignorierten es einfach.
Was passiert ist
Der API-Key der App war client-seitig eingebettet. Jeder mit minimalen Technik-Kenntnissen konnte auf die Daten zugreifen. Ein Sicherheitsforscher kontaktierte die Gründer, erklärte die Lücke Schritt für Schritt — und bekam als Antwort ein lasches "Wir schauen uns an, wie wir unsere Sicherheit verbessern können."
Passiert ist: nichts.
Timeline
- Mehrere Monate zuvor:** Mindestens drei Personen melden die Schwachstelle unabhängig voneinander
- Nach erster Meldung:** Entwickler antwortet, fragt wie die Lücke gefunden wurde — fixt nichts
- Wochen später:** 404 Media kontaktiert Quittr für einen Pressebericht
- Erst dann:** Die Lücke wird geschlossen
💡 Was das bedeutet
Quittr sammelt extrem intime Daten. Nutzer vertrauen der App ihre Suchtprobleme an — Rückfälle, Auslöser, persönliche Kämpfe. Ein Leak dieser Daten ist kein "Ups, E-Mail-Adressen weg." Das ist Erpressungsmaterial. Und die Verantwortlichen haben erst reagiert, als Journalisten anklopften.
✅ Pro
- Die App-Idee selbst adressiert ein reales Problem
❌ Con
- API-Key client-seitig exponiert — Security-Grundfehler Tag eins
- Mehrfache Warnungen von Hackern ignoriert
- Erst nach Presseanfrage gefixt
- Intimste Nutzerdaten betroffen: Suchtverhalten, Rückfälle
- Kein Hinweis auf Benachrichtigung betroffener Nutzer
Die bittere Ironie
Eine App, die verspricht, das Privateste am Menschen zu schützen — seine intimsten Schwächen — kann nicht mal einen API-Key richtig verstecken. Das ist kein Bug. Das ist ein Geschäftsmodell, das auf dem Vertrauen verletzlicher Menschen aufgebaut ist, ohne die Grundlagen von Datensicherheit zu beherrschen.
