Datenleck: Ausweiskopien von Pornodarstellern ungeschützt im Netz

Name, Künstlername, Adresse, Bankdaten und Ausweiskopien - Noam Rotem und Ran Locar von der VPN-Bewertungsseite VPNmentor.com entdeckten am 3. Januar 2020 ein besonders intimes Datenleck. Die Pornoseiten Pussycash und Imlive speicherten die Daten ihrer Darsteller in einem ungeschützten Amazon S3 Bucket.

Die Daten von 4.000 Darstellern weltweit seien in dem Leck enthalten, schreiben Rotem und Locar in einem Bericht, darunter auch etliche europäische Länder wie Deutschland, Schweiz und Italien. Pro Darsteller sei ein Zip-Archiv, das häufig Fotografien, Kopien von Ausweis, Pass oder Führerschein enthalte, angelegt gewesen. Zudem seien Porträts enthalten, bei welchen die Darsteller ihren Ausweis zur Identifikation neben ihr Gesicht halten. Die Dateien seien teils wenige Wochen, teils bis zu 20 Jahre alt gewesen.

Je nach Land können auf den Ausweisen unterschiedlichste Informationen enthalten sein. Neben dem vollen Namen, dem Geburtsdatum, der Nationalität und der Unterschrift sind beispielsweise auf den brasilianischen Ausweisen auch die Fingerabdrücke abgebildet. Teilweise enthalten die Ausweise auch die Wohnadresse sowie die Namen der Eltern.

Persönliche Informationen in den Vertragsunterlagen

In den Ordnern seien zudem die Vertragsunterlagen enthalten gewesen, heißt es in dem Bericht. In den Formularen wurden unter anderem die Künstlernamen und die echten Namen und Adressen sowie Telefonnummern und Arbeitsstellen der Darsteller erfasst. Auch die Sozialversicherungsnummer, Kontoinformationen oder Kopien der Kreditkarte waren Teil des Lecks, teils auch eine Kopie der Geburtsurkunde.

Ebenfalls enthalten: Scans von handgeschriebenen Biografien, in denen die Darsteller ihre sexuellen Präferenzen und Praktiken, ihre Hoffnungen und Träume bis hin zu ihren Hobbys und ihren Lieblingskünstlern darlegen.

Datenmissbrauch möglich

Die Daten könnten auf viele Arten missbraucht werden, heißt es in dem Bericht. Die umfangreichen Informationen, im Speziellen jedoch die Kopien offizieller Dokumente, können zum Identitätsdiebstahl missbraucht werden. Pornodarsteller müssten zudem Stalker oder Schmutzkampagnen fürchten, schreibt VPNmentor.

Die Darsteller könnten mit den Informationen zudem erpresst werden, wie es beispielsweise bei dem Datenleck des Seitensprungportals Ashley Madison 2015 der Fall war. Zudem könnten Kriminelle die Daten zum Verkauf anbieten. Im Oktober vergangenen Jahres bot ein Hacker beispielsweise die Daten von zwei Escort-Foren an. Besonders bedrohlich könne die Situation für LGBTQ-Darsteller sein, beispielsweise sei Homosexualität in rund 70 Ländern immer noch kriminalisiert, schreibt VPNmentor.

Nach der Entdeckung am 3. Januar meldeten Rotem und Locar das Datenleck an das Affiliate-Netzwerk Pussycash sowie deren Tochterseite Imlive. Am 7. Januar antwortete Imlive, dass sie sich um das Datenleck kümmern und die Informationen an Pussycash weiterleiten würden. Am 9. Januar sei das Leck behoben worden, schreiben Rotem und Locar. Eine Antwort von Pussycash hätten sie jedoch nie erhalten.