Das Startup „Urban“ mit Sitz in UK meint es eigentlich gut: Massage und Wellness einfach vom Smartphone aus buchen – keine schlechte Idee. Verfügbar ist der Dienst bisher nur in London, Manchester, Birmingham und Paris, aber immerhin weist alleine die Android-App schon über 50.000 Downloads auf.

Doch für die Nutzer und Nutzerinnen der App gibt es jetzt eine böse Überraschung: Eine Datenbank des Anbieters stand ohne Passwortschutz im Netz. Jeder konnte ungehindert darauf zugreifen.

Das meldete das Technikblog „TechCrunch“ unter Berufung auf den IT-Experten Oliver Hough. Der Anbieter „Urban“ hat das Problem gegenüber TechCrunch bestätigt.

Kundendaten und Kommentare

In der Datenbank befanden sich laut TechCrunch 309.000 Kundenprofile, mit Namen, Telefonnummern sowie E-Mail- und Post-Adressen. Pikant: Zu den Kundenprofilen fanden sich auch Anmerkungen, mit denen sich Masseure oder Therapeuten untereinander über ihre Kunden austauschten. Darunter etliche, deren Bekanntwerden für den betroffenen Kunden sehr peinlich werden könnte.

So beschwerten sich die Dienstleister in tausenden Kommentaren, weil Kunden Termine ständig absagten, übergriffig wurden oder sexuelle Dienstleistungen verlangten. Bei einigen Kunden fand sich sogar die Bemerkung „gefährlich“ oder „geblockt wegen Polizeiermittlungen“.

Der Fall zeigt mal wieder, wie lasch viele Unternehmen mit dem Thema Sicherheit umgehen und wie schnell sich äußerst heikle Informationen über Nutzer ansammeln – selbst bei einem harmlosen Terminvermittlungsdienst.