Manhunt, een homodating-app die beweert zes miljoen mannelijke leden te hebben, heeft bevestigd dat het in februari werd getroffen door een datalek nadat een hacker toegang had gekregen tot de accountsdatabase van het bedrijf.
In een mededeling Manhunt, ingediend bij het kantoor van de procureur-generaal van Washington, zei dat de hacker begin februari 2021 toegang had gekregen tot een database waarin accountgegevens van Manhunt-gebruikers waren opgeslagen, en de gebruikersnamen, e-mailadressen en wachtwoorden voor een subset van onze gebruikers had gedownload.
In de kennisgeving werd niet vermeld hoe de wachtwoorden werden gecodeerd, of helemaal niet, om te voorkomen dat ze door mensen konden worden gelezen. Wachtwoorden die met behulp van zwakke algoritmen zijn gecodeerd, kunnen soms worden gedecodeerd in platte tekst, waardoor kwaadwillende hackers in hun accounts kunnen inbreken.
Na de inbreuk forceerde Manhunt de accountwachtwoorden opnieuw in te stellen en begon medio maart gebruikers te waarschuwen. Manhunt zei niet bij welk percentage van zijn gebruikers de gegevens werden gestolen of hoe het datalek plaatsvond, maar zei dat meer dan 7.700 inwoners van de staat Washington werden getroffen.
Stacey Brandenburg, een advocaat van ZwillGen namens Manhunt, zei in een e-mail dat 11% van de Manhunt-gebruikers getroffen was.
Lees meer over Gadget Insider
- De Joodse dating-app JCrush heeft gebruikersgegevens en privéberichten vrijgegeven
- Beveiligingsfout in Grindr-locaties die zijn blootgesteld aan services van derden
- Door een beveiligingsfout in Grindr kon iedereen gemakkelijk gebruikersaccounts kapen
- Grindr aan de haak voor 10 miljoen euro wegens schending van de AVG-toestemming
Maar er blijven vragen over hoe Manhunt met de inbreuk omging. In maart heeft het bedrijf getweet dat op dit moment alle Manhunt-gebruikers hun wachtwoord moeten bijwerken om ervoor te zorgen dat het voldoet aan de bijgewerkte wachtwoordvereisten. In de tweet stond niet dat gebruikersaccounts waren gestolen.
Manhunt werd in 2001 gelanceerd door Online-Buddies Inc., dat daarvoor ook de gay-dating-app Jack'd aanbood was verkocht naar Perry Street in 2019 voor een niet bekendgemaakt bedrag. Slechts enkele maanden voor de uitverkoop had Jack dat gedaan een beveiligingsfout die de privéfoto's en locatiegegevens van gebruikers openbaar maakte.
Datingsites slaan de meest gevoelige informatie over hun gebruikers op en zijn vaak het doelwit van kwaadwillende hackers. In 2015 werd Ashley Madison, een datingsite die gebruikers aanmoedigde een affaire te hebben, gehackt, waardoor namen, post- en e-mailadressen openbaar werden gemaakt. Verschillende mensen stierven door zelfmoord nadat de gestolen gegevens online waren geplaatst. Een jaar later werd de datingsite AdultFriendFinder gehackt, waardoor de gegevens openbaar werden meer dan 400 miljoen gebruikersaccounts .
In 2018 lanceerde dating-app Grindr haalden de krantenkoppen voor het delen van de HIV-status van gebruikers met data-analysebedrijven.
In andere gevallen leidde slechte beveiliging – in sommige gevallen helemaal geen – tot datalekken waarbij enkele van de meest gevoelige gegevens betrokken waren. In 2019 liet Rela, een populaire dating-app voor homoseksuele en queervrouwen in China, een server onbeveiligd achter zonder wachtwoord, waardoor iedereen toegang kreeg tot gevoelige gegevens – inclusief seksuele geaardheid en geolocatie – van meer dan 5 miljoen app-gebruikers. Maanden later leert de Joodse dating-app JCrush meer.