Sex-Website lässt Nacktfotos tausender Frauen offen im Netz

Update vom 03.02.2017, 10:40 Uhr: Nachdem die Skirt-Club-Homepage am 27.01. offline ging, ist sie knapp eine Woche später, am Donnerstag den 02.02., wieder erreichbar. Skirt Club hat inzwischen außerdem erstmals seine Mitglieder über die Sicherheitslücke in Kenntnis gesetzt (technische Details dazu finden sich im Text in dem entsprechenden Abschnitt).

Auf den drei Riesenbetten sind goldene Blüten verstreut, das Wasser in der Badewanne ist mit rosa Badesalz gefärbt. Im Wohnzimmer sitzen auf dem Boden etwa 50 Frauen in goldenen und weißen Kleidern, hier und da blitzen Strapse hervor. Das Motto der „Play Party": vergoldete Engel. Es ist eine Samstagnacht im Dezember und alle hängen an den roten Lippen der Veranstalterin Renée Nyx. Skirt Club, sagt sie in ihrer Begrüßungsrede, „ist ein sicherer Ort, an dem Frauen miteinander spielen können". Als Nyx fertig ist, klatschen alle. Es dauert keine zwei Stunden, bis die ersten nackten Frauen zu zweit, zu dritt, zu viert, zu fünft auf den Betten miteinander verschmelzen.

Diskretion ist eines der wichtigsten Werbeversprechen von Skirt Club, einer Plattform, die seit 2014 Frauen, die auf Frauen stehen, zusammenbringt. Der Club hat weltweit an die 5.000 Mitglieder, seit der Launchparty in Berlin im Oktober auch immer mehr Frauen aus Deutschland. Auf den Partys von Skirt Club können sie sich kennenlernen und Sex miteinander haben – „weit weg von den Spannerblicken der Männer", heißt es auf der dazugehörigen Website. Dort können sich Userinnen vernetzen und private Nachrichten verschicken. Mit „Keine Konsequenzen. Keine Fragen" wirbt die Seite. In den Sicherheitsrichtlinien steht: „Eure Informationen werden privat und anonym bleiben. Wir sind bemüht, alle angemessenen Schritte zu unternehmen, um eure Daten zu schützen."

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Recherchen von VICE und Motherboard zeigen: Das Gegenteil ist der Fall. Ein Blick auf den Server und die Sicherheitseinstellungen der Website genügt, um zu erkennen, dass Skirt Club grob fahrlässig mit den Daten seiner Nutzerinnen umgegangen ist. Tausende persönliche Bilder waren wochenlang für jeden anklickbar: Fotos, die unter anderem die Namen der Frauen verraten, Nacktbilder, Fotos von Brüsten, Vulven. Eine Seite, die auf Diskretion basiert, könnte kaum leichtsinniger mit den Daten ihrer Nutzer umgehen.

Von all dem wissen die Frauen nichts, die sich im Dezember in Berlin Schöneberg zur ersten deutschen „Play Party" von Skirt Club treffen. Sie lecken Schnaps von einer halbnackten Hostess, knutschen beim Flaschendrehen, nach Mitternacht fallen die sorgfältig ausgesuchten Kleider.

Bei der Party müssen sie keine Männerblicke fürchten, selbst an der Bar arbeiten flirtfreudige Frauen in schwarzen Dessous mit Federschmuck. Was die Gäste aber nicht wissen: Im Netz kann zu dem Zeitpunkt jeder die Fotos sehen, die sie als Bewerbung hochladen mussten, um mitmachen zu dürfen. Man muss kein Hacker sein, noch nicht mal ein Informatikstudent. Die Fotos sind durch kein Passwort geschützt und jeder Neugierige kann sie sich anschauen oder runterladen.

Noch beunruhigender als das Datenleck selbst ist, wie Skirt Club mit dem Problem umgeht. Unsere Recherchen zeigen, dass die Seitenbetreiber zum Zeitpunkt der Party Mitte Dezember bereits seit Wochen von einem Problem wussten. Gewarnt haben sie die Userinnen bis heute nicht. Und selbst nachdem VICE sie im Zuge der Recherchen auf das Datenleck hingewiesen hat, brauchte Skirt Club drei Wochen, um die Lücke zu schließen. Ganz behoben war das Problem zum Zeitpunkt der Veröffentlichung nicht . Dabei wäre es einfach zu reparieren. Doch der Reihe nach.

Um bei Skirt Club mitzumachen, muss man sich mit einem Profil- und Ganzkörperbild bewerben. Nur wer von einem „Gremium" als heiß genug eingestuft wird, darf mitmachen: Tickets für eine Sexparty kaufen, anderen Userinnen Privatnachrichten schreiben und ihnen Fotos schicken – die, wie in der Natur jeder Sexseite liegt, die Nutzerinnen oft nackt zeigen.

Jana*, 39, hat ihren Mut zusammenkratzen müssen, um sich bei Skirt Club anzumelden und zur Party zu kommen. „In meiner Umgebung weiß so gut wie niemand Bescheid, dass ich bi bin", sagt sie. „Weder meine Kinder noch Freunde noch Kunden." Jana ist zierlich, selbstbewusst, lacht viel. Dass sie nervös ist, merkt man nur daran, wie schnell sie an ihrem Rum nippt. Jana ist Unternehmerin, hat drei Kinder und einen Ehemann. Als sie jung war, hat sie noch mit Frauen geschlafen, seit sie verheiratet ist, nicht mehr. „Wir haben seit 15 Jahren eine klassische monogame Ehe mit Haus am Stadtrand", sagt sie. Erst vor ein paar Monaten hat sie mit ihrem Mann darüber gesprochen, dass sie sich nach Frauen sehnt. Als sie bei VICE über Skirt Club gelesen hat, beschloss sie, sich anzumelden und ein Ticket für diese Party zu kaufen. „Das scheint ein sicherer Raum, um sich auszuprobieren. Genau, was ich gesucht habe", sagt sie.

Als Skirt Club Ende Oktober seine erste Veranstaltung in Deutschland hatte, war VICE zwiegespalten: Einerseits ist es gut, wenn es selbstverständlicher akzeptiert wird, dass auch Frauen auf unverbindlichen Sex stehen. Aber dass Frauen selbst eine Plattform schufen, bei der sich nur scharfe Schnitten unter 40 für Sex qualifizierten, ist nicht wirklich fortschrittlich. Die sexuelle Befreiung als VIP-Party für die lucky few mit Gesichtskontrolle und Dresscode.

Jana ist nicht die einzige Userin, die gute Gründe hat, unerkannt bleiben zu wollen. Skirt Club schreibt auf der eigenen Website, dass die meisten ihrer Mitglieder männliche Partner haben. Viele der Mitglieder, mit denen wir gesprochen hat, sind nicht offen bisexuell. Weil es das Umfeld nicht zulässt. Oder weil sie sich ihrer sexuellen Orientierung schlicht und einfach nicht sicher sind. Manche sind neugierig auf andere Frauen, haben aber noch nie zuvor eine geküsst. Skirt Club verkauft sich als der Ort, der solche Erfahrungen vertraulich möglich macht.

Datenleaks bei Sex-Websites können Leben ruinieren. Der prominenteste Fall der vergangenen Jahre ist der Hack von Ashley Madison – einer Seite, die Seitensprünge vermittelte: „100% diskret", warb die Plattform mit über 40 Millionen Nutzern. Nachdem eine Hackergruppe über 29 Gigabyte privater Daten wie Mailadressen, Kreditkartendaten und Passwörter der Fremdgeher veröffentlicht hatte, gingen Ehen und Karrieren kaputt. Ein Priester, der ein Profil auf der Seite hatte, beging Suizid. Der Fall Skirt Club zeigt ein Dilemma: Das Internet hat es zwar einfacher gemacht, Sexpartner zu finden. Um die Seiten nutzen zu können, zahlen User allerdings mit einem Vertrauensvorschuss. Ob das Vertrauen wirklich gerechtfertigt ist, wissen sie nicht, wenn sie sich anmelden.

Skirt Club benutzt für seine Website Wordpress und das Plug-in Buddypress. Dass die Sex-Plattform auf kostenlosen und simplen Tools basiert, die auch Millionen privater Blogs nutzen, ist zunächst kein Problem. Wordpress bietet theoretisch alle wichtigen Funktionen, um eine Seite vor Hacking-Angriffen und Sicherheitslücken zu schützen. Eingestellt werden sie mit wenigen Klicks.

Doch eine kleine, aber wichtige Datei, die die Zugriffsrechte auf Bilder, Inhalte und Daten der Wordpress-Seite regelt, ist im Fall von Skirt Club vollkommen falsch eingestellt: Die sogenannte htaccess-Datei ist eigentlich nur acht Zeilen lang, doch irgendwann müssen sich in den Code fatale Fehler eingeschlichen haben. Die Datei gehört eigentlich zum Standardrepertoire jedes Webshops, jeder Wordpress-Seite. Eigentlich ist sie automatisch installiert und so konfiguriert, dass niemand ohne entsprechende Rechte von außen auf den Server zugreifen kann – bei Skirt Club jedoch muss die Datei irgendwann falsch eingestellt worden sein. „Auf einer Skala von 1 bis 10 der Fahrlässigkeit ist das eine 11", sagt der White-Hat-Hacker und Aktivist Stephan Urbach, der die Sicherheitslücke zusammen mit VICE untersucht hat. Urbach hat schon zahlreiche Websites auf ihre Sicherheit geprüft. „Das Problem wäre von Anfang an vermeidbar gewesen. Das ist ja schon keine Lücke mehr, das wirkt ja fast wie ein bewusstes Offenhalten."

Über mehrere Wochen konnte jeder von außen auf die Server-Daten zugreifen – ob die Lücke noch länger bestand und wer sie missbraucht haben könnte, lässt sich nicht nachvollziehen. Dass es bei Skirt Club ein Sicherheitsproblem gibt, erfahren wir erstmals, als wir im Dezember durch Quellen davon hören, was auch der Auftakt unserer Recherchen ist.

Um das Problem auszunutzen, genügt es, die reguläre Web-Adresse von Skirt Club in einen Browser einzugeben und dazu den Namen des Unterordners, in dem Wordpress-Seiten standardmäßig alle Inhalte speichern. Von diesem zentralen Serververzeichnis aus lassen sich bequem alle Ordner durchforsten in denen sämtliche Fotos liegen, die jemals auf Skirt Club hochgeladen wurden – fein säuberlich sortiert in einzelne Unterordner. So gab es für jede Nutzerin einen eigenen Ordner mit allen Bildern, die sie je auf ihrem Profil hochgeladen hat. Die oft sehr intimen Fotos aus privaten Nachrichten waren in einem Unterordner gespeichert, leicht auffindbar unter dem Namen „mail attachments". Einmal hochgeladen können die Userinnen ihre Fotos nicht mehr vom Server nehmen. Auch Bewerbungsfotos von Nutzerrinnen, die abgelehnt wurden und im Skirt Club gar nicht mitmachen dürfen, finden sich auf dem Server.

All das wäre leicht zu verhindern: Um die fehlerhafte htaccess-Datei zu reparieren, müssten nur wenige Code-Zeilen hinzugefügt werden – für Informatiker eine Aufgabe von maximal zwei Stunden Arbeit und Recherche. Skirt Club hat es dennoch bis heute nicht geschafft, die Sicherheitslücke vollständig zu schließen. Inzwischen lassen sich zwar keine Ordner mehr durchsuchen und keine Bilddateien mehr aufrufen, aber auf manch andere Dateitypen ist der Zugriff noch heute möglich. Für jemanden, der die Details der ursprünglichen Sicherheitslücke nicht kennt, ist es heute allerdings unmöglich, diese Dateien aufzuspüren. Daher haben wir uns nun dazu entschieden, unsere Recherchen zu veröffentlichen.

Es gibt noch zwei weitere Punkte, die zeigen, wie wenig Skirt Club für die Sicherheit seiner Nutzerinnen getan hat. Zum einen wäre da die Sache mit der Verschlüsselung der Daten: In den Privatsphären-Richtlinien schreibt Skirt Club über sich selbst, dass man alle Daten „vor der Übertragung auf den Server verschlüsseln" würde. Tatsächlich nutzt die Seite keinerlei besonderen Verschlüsselungsverfahren für Nutzerdaten – die Sätze aus den Privatsphäre-Einstellungen könnten kaum ferner von der Wirklichkeit sein. Auch überträgt Skirt Club die Daten an ohne den https-Standard – dieser soll verhindern, dass Hacker Daten abfangen oder User ausspionieren, wenn sich diese mit einer Website verbinden. Um die intimen Informationen ihrer Nutzer zu schützen, haben mehrere große Porno-Seiten den Standard vor einigen Monaten für ihre Seiten übernommen. Eine solche Verschlüsselung einzurichten ist dank Initiativen wie https-everywhere auch technisch nicht mehr sonderlich schwer. Nachdem wir Skirt Club im Zuge unserer Recherchen auf die Sicherheitsprobleme hingewiesen haben, nutzt die Seite inzwischen das https-Protokoll.

Und dann ist da noch ein sicherheitstechnischer Anfängerfehler, den eigentlich jeder Internetnutzer kennen sollte: Die eigene Software ist nicht auf dem neuesten Stand – das ist gerade im Falle von Wordpress gefährlich. Doch was einfache Nutzer mit den Updates ihrer Betriebssysteme regelmäßig automatisch erledigen, hat Skirt Club ignoriert: Bis Ende Dezember liefen sowohl Wordpress als auch das Plug-in Buddypress auf mehrere Monate alten Versionen. Wordpress bietet eine einfache automatische Update-Funktion, Skirt Club hat sie offensichtlich deaktiviert. Updates hätten in der Vergangenheit das Design der Seite eingeschränkt, erklären uns die Macher dazu in einer E-Mail.

Nachdem wir die Skirt-Club-Betreiber auf das Problem mit der veralteten Version aufmerksam machen, ändern sie zunächst ihre Server-Einstellung, so dass von außen nicht mehr erkennbar ist, welche Softwareversion sie verwenden. Auf eine weitere Anfrage haben sie uns inzwischen Screenshots geschickt, die zeigen, dass die Wordpress- und Buddypress-Software auf dem aktuellen Stand seien.

Das Datenleck bei Skirt Club ermöglichte es zwar nicht, Kreditkartendaten zu ermitteln oder jedem Bild den Namen der Benutzerin zuzuordnen. Doch einige der Fotos verraten auch so schon mehr über die bürgerliche Identität der Userinnen, als ihnen lieb sein kann. Wenn eine Nutzerin ein Bild bei Skirt Club hochgeladen hat, das sie auf einer anderen Seite zusammen mit ihrem echten Namen nutzt, lässt sich ihre Identität mit wenigen Klicks per Google-Bildersuche ermitteln. So führte zum Beispiel das Foto einer Anwältin direkt auf die Seite ihrer Kanzlei. Ein weiteres Problem: Skirt Club speicherte immer die Originalbilder, auch wenn die Benutzerinnen sie noch zugeschnitten hatten. So lässt sich auf dem Originalfoto einer Ärztin das eigentlich weggeschnittene Namensschild auf ihrem Kittel erkennen. Wenn es jemand darauf anlegen würde, sie zu erpressen, wäre es ein Leichtes, sie zu finden.

„Oh Gott", sagt Jana, als wir sie anrufen und von der Sicherheitslücke erzählen. Dann sagt sie lange nichts, und wieder: „Oh Gott." Die Stimme am Telefon ist nicht mehr die selbstbewusste, ironische Stimme von der Party. Die Jana am anderen Ende der Leitung ist nicht mehr die kokette Jana im tief ausgeschnittenem Seidenkleid, sondern eine Familienmutter, die gerade vom Brunch kommt. „Unsere Kinder wissen nichts davon. Unser Freundeskreis sind Mittvierziger mit Familien aus dem Umland – sie hätten kein Verständnis."

Genauso erschrocken reagiert Lucia, 32. „Es wäre furchtbar, wenn es rauskommt", sagt sie. Ihr Partner weiß zwar, dass sie seit Oktober ein Profil bei Skirt Club hat – ihre Eltern und Geschwister haben aber keine Ahnung, genauso wie die Kollegen in dem Konzern, in dem sie arbeitet. „Ich arbeite in einer ziemlich konservativen Umgebung", sagt sie. „Ich halte meine Sexualität nicht ohne Grund geheim. Meinen Account werde ich sofort löschen."

Das Problem ist, dass niemand weiß, ob jemand die Bilder vielleicht schon heruntergeladen hat – und was er damit plant. Anders als im Fall von Ashley Madison brauchte es nicht einmal eine Hackergruppe. Die Bilder so offen im Netz zu lassen, ist ungefähr so, als ließe man ein Profirennrad unangeschlossen am Kottbusser Tor stehen. Einen Monat lang.

Vier Tagen nachdem wir Skirt Club mit unseren Recherchen konfrontiert haben, reagiert Skirt Club das erste Mal und versucht, die Lücke zu schließen – erfolglos. Nachdem wir sie erneut darauf aufmerksam machen, folgt einen Tag später ein Update, das dafür sorgt, dass nur noch wenige Fotos zugänglich sind. Bis heute, fünf Wochen nach unserem ersten Hinweis, folgt zwar noch ein Update, aber die Probleme sind noch immer nicht vollständig behoben. Die Nutzerinnen wurden bis heute nicht über das Problem informiert. Update 03.02.2017., 10:40: Skirt Club hat inzwischen seine Mitglieder über die Sicherheitslücke in Kenntnis gesetzt. In der E-Mail, die Motherboard vorliegt, heißt es, dass die Lücke „innerhalb von Tagen behoben" wurde und „bereits Wochen" vor unserer Veröffentlichung bearbeitet. Die Darstellung in der E-Mail deckt sich nicht mit unseren Recherchen.

Es gibt Regeln und Prozesse, nach denen sich Medien und Sicherheitsexperten richten, wenn sie eine gefährliche Sicherheitslücke öffentlich machen. Zwei der wichtigsten lauten: Zuerst der betroffenen Firma so von dem Problem berichten, dass sie es beheben kann, und zweitens alles dafür tun, das Risiko für die Nutzer zu minimieren. Im Falle der Wordpress-Panne bei Skirt Club galt für uns seit Recherchebeginn eine Prämisse: Die tausenden Frauen, die ihr Vertrauen in diesen angeblichen Safe Place gesetzt haben, müssen endlich wieder wirklich sicher sein – und sie haben ein Recht zu wissen, dass Skirt Club ihre intimen Fotos nach dem Upload nicht so schützt wie behauptet.

Skirt Club jedoch macht es uns von Anfang an nicht leicht. Schon in der ersten E-Mail-Antwort schreiben die Betreiber, wir sollten mit den Informationen nicht an die Öffentlichkeit gehen: „Im Interesse meiner Nutzer muss ich euch bitten, diese Angelegenheit als geklärt anzusehen." Das Problem: Nichts ist zu diesem Zeitpunkt geklärt. Nichts ist repariert. Die privaten Fotos tausender Nutzerinnen sind für Kriminelle weiterhin nur einen Klick entfernt – obwohl Skirt Club uns gegenüber behauptet, mit Hilfe von ungenannten Experten die Lücke geschlossen zu haben. In ihrer E-Mail machen sich die Betreiber jedoch scheinbar mehr Sorgen über ihr Geschäftsmodell als über die Sicherheit ihrer User: „Ohne das Vertrauen meiner Mitglieder, meiner Community, werde ich kein Business haben, das wachsen kann", schreibt sie.

Die Begründung von Skirt Club, wie es überhaupt zu der Panne kommen konnte: Als eine junge Organisation habe man nicht die Ressourcen und die Expertise von großen Unternehmen. Stephan Urbach braucht jedoch gerade einmal eine Minute, um zu erkennen, welche Datei falsch konfiguriert ist. Nach 45 Minuten Online-Recherche kennt er den genauen Code, den er in die Datei schreiben müsste.

Wer für die Sex-Website verantwortlich ist, ist öffentlich nicht bekannt. Laut dem Webverzeichnis-Dienst Domaintools.com war die Seite bis vor einigen Tagen auf eine in London lebende Kate C. registriert. Auf E-Mail-Anfragen an die offizielle Skirt Club-Adresse antwortet eine gewisse „Genevieve LeJeune". Sie bezeichnet sich als „Skirt Club-Gründerin", ihre tatsächliche bürgerliche Identität möchte sie auf Anfrage nicht verraten, bestreitet aber, Kate C. zu sein.

Nach unserer Anfrage nutzt Skirt Club jetzt einen Anonymisierungsdienst, der verschleiert, auf wen die Domain angemeldet ist. Auf der Skirt Club-Website selbst finden sich ohnehin keine Informationen über die tatsächlichen Betreiber. So bleibt auch unklar, an wen sich mögliche Opfer der fahrlässigen Sicherheitslücke wenden könnten. Klar ist dagegen: Skirt Club will sich vermarkten und expandieren. Die Videos und Fotos auf der Seite sind so aufwändig produziert (und heftig gephotoshopped) wie Dessous-Werbung. In den nächsten Monaten werden die Skirt Club Partys in immer weitere Städte expandieren: San Francisco, Chicago, für Berlin sind zwei weitere Events angekündigt.

Irgendwann in unserer Mail-Unterhaltung, in der wir Skirt Club die technischen Problem schildern und sie dazu befragen, geht LeJeune zum Gegenangriff über. Sie stellt in Frage, ob unsere Berichterstattung über die Sicherheitslücke überhaupt „ethisch" sei. „Ist das eine Attacke gegen eine Minderheit? Oder gegen Frauen?" Um es nochmal deutlich zu sagen: Es ist großartig, dass es mit Skirt Club eine Plattform gibt, auf der bisexuelle Frauen experimentieren können. Es ist ein wichtiges Anliegen. Und es wäre schön, wenn wir in einer Welt leben würden, in der Familienmutter sein und auf Frauen-Sexpartys gehen kein Widerspruch wäre. Solange das nicht so ist, müssen sich Frauen wie Jana auf die Versprechen von Seiten wie Skirt Club verlassen.

„Normalerweise bin ich sehr vorsichtig. Ich lasse nicht einmal meine Kinder Familienfotos bei Whatsapp verschicken, die peinlich werden könnten", sagt sie. „Ich weiß, dass alles, was man im Internet tut, Spuren hinterlassen kann. Aber wenn eine Seite verspricht, diskret zu sein, vertraut man darauf", sagt sie. Als Ganzkörper-Bewerbungsfoto hat sie ein sexy Unterwäschebild hochgeladen.

Was man vom Fall Skirt Club lernt: Jeder, der Intimes ins Netz lädt, setzt sich einem Risiko aus. Plattform-Betreibern wie LeJeune sollte klar sein, dass damit nicht nur ein „Business" auf dem Spiel steht sondern ganze Leben. „Und wenn man schon keine Sicherheit garantieren kann, dann wenigstens Ehrlichkeit", sagt Jana.

*Namen geändert

Kommunikation zwischen VICE Deutschland und Skirt Club by Motherboard Deutschland on Scribd