Informierte Stellen: Femify (Becker Kraume GmbH) und LDI NRW (beide am 26.03.2026)

Der Chaos Computer Club (CCC) meldete eine Sicherheitslücke in der Fitness- und Zyklus-Tracking-App „Femify“, durch die auf Daten von etwa 8.000 Nutzer*innen zugegriffen werden konnte. Ausgangspunkt war ein Podcast, in dem die Entwicklung der App als weitgehend „KI“-gestützt („vibe coded“) beschrieben wurde. Diese Aussage nahm eine technisch versierte Person zum Anlass, die Anwendung näher zu untersuchen.

Die Analyse ergab, dass sich registrierte Nutzer*innen mit einfachen Mitteln ‒ den Developer Tools des Browsers ‒ selbst Admin-Rechte zuweisen konnten. Dies ermöglichte erweiterten Zugriff über die Benutzeroberfläche und Schnittstellen der Anwendung. Als Admin konnten Daten von etwa 8.000 Nutzer*innen eingesehen werden. Warum die „KI“ implementierte, dass Nutzer*innen sich selbst zum Admin befördern können, ist nicht übermittelt.

Die Betreiber von Femify wurden über die Schwachstelle informiert, die Schwachstelle wurde zeitnah behoben. Uns ist nicht bekannt, ob die betroffenen Nutzer*innen informiert wurden.