{"id":315649,"date":"2025-09-11T10:01:52","date_gmt":"2025-09-11T08:01:52","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315649"},"modified":"2025-10-10T10:04:31","modified_gmt":"2025-10-10T08:04:31","slug":"vibe-coding-fail-drama-in-brasilien-dating-app-fuer-lesben-legt-daten-offen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/11\/vibe-coding-fail-drama-in-brasilien-dating-app-fuer-lesben-legt-daten-offen\/","title":{"rendered":"Vibe Coding-Fail: Drama in Brasilien, Dating-App f\u00fcr Lesben legt Daten offen"},"content":{"rendered":"

\"Stop[English<\/a>]Von Protagonisten wird gerade \"Vibe Coding\" als Stein der Weisen und Revolution in der Software-Entwicklung gefeiert. Entwickler braucht es keine mehr, jedermann l\u00e4sst seinen Code von KI stricken. In Basilien zeigt dieser Trend seine b\u00f6se Fratze. Eine popul\u00e4re Dating-App f\u00fcr lesbische Frauen wurde mit Vibe Coding entwickelt. Was wie eine coole Sache ausschaut, entwickelt sich f\u00fcr Nutzerinnen zum GAU. Man konnte die pers\u00f6nlichen Daten der Nutzerinnen per GET-Befehl einfach so abrufen.<\/p>\n

<\/p>\n

Was steckt hinter Vibe Coding?<\/h2>\n

\"\"Ich habe zur Sicherheit nochmals nachgesehen. Laut Wikipedia ist Vibe Coding<\/a> die Bezeichnung f\u00fcr eine Art der Softwareentwicklung, bei der nahezu ausschlie\u00dflich der Prompt eines gro\u00dfen Sprachmodells bedient wird, um den f\u00fcr die Software erforderlichen Quellcode zu generieren. Vibe Coding wird dort als eine Variante des Prompt Engineerings bezeichnet.<\/p>\n

\"Vibe<\/a><\/p>\n

Der Begriff geht auf obigen Tweet von Andrej Karpathy, Mitbegr\u00fcnder von OpenAI und ehemaliger KI-Leiter bei Tesla, zur\u00fcck. Karpathy schreibt, dass der KI generierte Code und die Methode besonders f\u00fcr \"Wegwerf-Wochenendprojekte\" geeignet sei. Dummerweise wurde Karpathys Tweet von der KI-muss-rein-Bubble aufgegriffen und hat einen Trend in der Diskussion um den Stand der Softwareentwicklung im Jahr 2025 gesetzt.<\/p>\n

Im Merriam-Webster-W\u00f6rterbuch hei\u00df es zu Vibe Coding<\/a> mit Stand 8. M\u00e4rz 2025: \"Writing computer code in a somewhat careless fashion, with AI assistance.\" – also Programmiercode in nachl\u00e4ssiger (unkritischer) Weise durch KI erstellen lassen.<\/p>\n

Bei t3n wird das Ganze im Mai 2025 im Beitrag\u00a0Vibe-Coding: Wie KI das Programmieren revolutioniert \u2013 und warum das gef\u00e4hrlich sein kann<\/a> aufgegriffen. Und es gibt eine Warnung vor den Risiken – ein Software-Entwickler berichtet, dass seine Software wegen zahlreicher Sicherheitsl\u00fccken verst\u00e4rkt angegriffen werde.<\/p>\n

Ich bin da ein wenig bez\u00fcglich Vibe Coding unterbelichtet – konnte den Begriff also auch nicht \"setzen\". Aber ich hatte zum 24. November 2024 den Beitrag\u00a0ChatGPT: Scam Crypto-API in Quellcode-Vorschlag sch\u00e4digt Opfer um 2.500 US-Dollar<\/a> hier im Blog. W\u00fcrde heute als Vibe Coding-Fail in die Geschichte eingehen – damals etwas bel\u00e4chelt \"wer ist schon so doof\". Nun ist doof offenbar im Trend – zumindest, wenn man sich viele KI-Projekte anschaut. \"Digialisierung first, Bedenken Second\", ist der Schlachtruf, garniert mit \"einfach mal machen, ist krasser als dr\u00fcber reden\".<\/p>\n

Ein sehr erfahrener und umsichtiger Entwickler wird m\u00f6glicherweise bei der Code-Entwicklung von gro\u00dfen Sprachmodellen (LLMs) profitieren k\u00f6nnen. Mein Postulat ist aber, dass die Masse der Entwickler eher schneller Mist produziert, der uns sp\u00e4ter (oder eher fr\u00fcher) auf die F\u00fc\u00dfe f\u00e4llt. Und die Leute ohne Erfahrung sind mit Vibe Coding auf dem Weg ins Desaster.<\/p>\n

Vibe Coding-Desaster mit Dating App f\u00fcr Lesben<\/h2>\n

So richtig viele Informationen liegen mir nicht vor. In Brasilien gab es eine Dating-App f\u00fcr lesbische Frauen, die wohl stark im Trend lag und recht popul\u00e4r war. Muss wohl ein \"Wegwerf-Wochenendprojekte\" am K\u00fcchentisch gewesen sein, denn der Code der App wurde mit Vibe Coding erstellt.<\/p>\n

\"Vibe<\/p>\n

Ich bin die Woche auf obigen Tweet gesto\u00dfen, der ein Drama f\u00fcr die Nutzerinnen offen legt. Ein einfacher GET-Befehl reicht, um die pers\u00f6nlichen Daten der Nutzerinnen (Name, Telefonnummer, E-Mail-Adresse, Fotos, ggf. Chats) abzurufen.<\/p>\n

The Record hat die Geschichte inzwischen in diesem Beitrag<\/a> mit einigen zus\u00e4tzlichen Informationen angereichert. Es wird best\u00e4tigt, dass Nutzer auf die Schwachstelle stie\u00dfen und am 8. September 2025 auf X angaben, auf alle pers\u00f6nlichen Daten zugreifen zu k\u00f6nnen. Einer der Entdecker gab an, er k\u00f6nne alle Fotos aus der Datenbank der App herunterladen, darunter Namen, Geburtsdaten und Selfies zur Identit\u00e4tspr\u00fcfung.<\/p>\n

Das Unternehmen Sapphos, welches die App entwickelte – laut Eigenaussage ein kleines, von Frauen gef\u00fchrtes Team – gab wohl an, dass keine Verifizierungsdokumente offengelegt worden seien. Die in sozialen Medien geposteten\u00a0Screenshots widersprechen aber dieser urspr\u00fcnglichen Aussage von Sapphos.<\/p>\n

Spannend ist die gesamte Historie des Vorfalls, die The Record offen gelegt hat: In einer Reihe urspr\u00fcnglicher Stellungnahmen haben die Entwicklerinnen von Sapphos die Offenlegung zun\u00e4chst als \"versuchten Angriff b\u00f6swilliger Akteure\" bezeichnete. Es hei\u00dft bei The Record, dass von den Entwicklerinnen angedeutet worden sei, dass dies von einer Gruppe von M\u00e4nnern orchestriert worden sei. Also abwiegeln und die Schuld bei b\u00f6sen Dritten suchen bzw. zuweisen.<\/p>\n

Einer der Sicherheitsforscher erkl\u00e4rte dann, seine Absicht sei es nicht gewesen, den Nutzerinnen zu schaden, sondern das Unternehmen auf die Schwachstelle hinzuweisen, die als unsichere direkte Objektreferenz (IDOR) klassifiziert wurde. Die Entwicklerinnen mussten sp\u00e4ter ein Sicherheitsvers\u00e4umnis einr\u00e4umen. Sie gaben an, Anzeige bei der brasilianischen Cyberkriminalit\u00e4tspolizei erstattet zu haben, und versprachen, den Dienst mit strengeren Sicherheitsvorkehrungen neu zu starten.<\/p>\n

Aktuell ist der Dienst, der der Dating-App die API bereitstellt, seit Dienstag (9. September 2025) offline genommen worden. Laut Entwicklerinnen, \"um sich auf die Cybersicherheit zu konzentrieren\". Zudem wurde geschrieben, dass die gesamte Benutzerdatenbank gel\u00f6scht worden sei (so einfach ist das, Datenbank wohl geleakt, dann l\u00f6schen wir die Daten einfach mal).<\/p>\n

Rund 17.000 Nutzer(innen) wurden per E-Mail dar\u00fcber informiert, dass ihre Daten gel\u00f6scht worden seien, und es wurden R\u00fcckerstattungen f\u00fcr Premium-Abonnements in H\u00f6he von bis zu 500 brasilianische Reais (etwa 90 US-Dollar) gew\u00e4hrt.<\/p>\n

Die Entwicklerinnen planen, das Ganze \"von Grund auf neu zu strukturieren\", das Team zu vergr\u00f6\u00dfern und das Projekt vor einem Neustart strengeren Sicherheitstests zu unterziehen. Happy Vibe Coding die n\u00e4chste?<\/p>\n

Das sind genau die F\u00e4lle, vor denen ich immer warne. Versprochen wird, dass jeder D\u00f6del ohne Kenntnisse seine Software selbst generieren k\u00f6nne. Die Katastrophen, die sich daraus ergeben, werden wir k\u00fcnftig t\u00e4glich feststellen d\u00fcrfen.<\/p>\n

Und ich bin auch skeptisch, dass es besser bei Leuten l\u00e4uft, die sich mit Software-Entwicklung etwas auskennen. Aktuell geht der Hype ja dahin, dass frische Nachwuchs-Entwickler M\u00fche haben, erste Stellen zu finden. Wir laufen Gefahr, in wenigen Jahren auf eine F\u00e4higkeitsl\u00fccke hinzulaufen.<\/p>\n

Und die verbleibenden Entwickler werden vom Druck, m\u00f6glichst viel wegzuschaffen und Aufgaben an die KI auszulagern, zerrieben. Hinzu kommt die menschliche Neigung des \"wird schon stimmen, was da generiert wurde, muss ich nicht mehr genau \u00fcberpr\u00fcfen\".\u00a0 Das wird mit Sicherheit schief gehen.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

[English]Von Protagonisten wird gerade \"Vibe Coding\" als Stein der Weisen und Revolution in der Software-Entwicklung gefeiert. Entwickler braucht es keine mehr, jedermann l\u00e4sst seinen Code von KI stricken. In Basilien zeigt dieser Trend seine b\u00f6se Fratze. Eine popul\u00e4re Dating-App f\u00fcr … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-315649","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315649","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=315649"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315649\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=315649"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=315649"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=315649"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}