Близо 1,5 милиона снимки от специализирани приложения за запознанства са били съхранявани онлайн без никаква защита с парола, което ги е направило достъпни за хакери и потенциални изнудвачи, съобщава BBC.
Изтичането засяга пет платформи, разработени от M.A.D Mobile – сред тях BDSM People и Chica, насочени към любителите на кинк културата, както и ЛГБТ приложенията Pink, Brish и Translove. Очаква се засегнатите потребители да са между 800 000 и 900 000 души.
Пропускът в сигурността е открит още на 20 януари от етичния хакер Арас Назаровас от Cybernews, който е предупредил компанията. Въпреки това, M.A.D Mobile не е предприела мерки, докато BBC не е изпратила запитване в петък.
Как е открит проблемът?
Назаровас установява местоположението на онлайн хранилището, в което се съхраняват снимките, след като анализира кода на приложенията. Оказва се, че файловете са напълно незащитени и достъпни за всеки, който знае къде да търси.
„Първото приложение, което проучих, беше BDSM People и първата снимка, която видях, беше на напълно гол мъж. Веднага осъзнах, че тази папка никога не е трябвало да бъде публична“, разказва той.
Най-притеснителното е, че изтеклите изображения не се ограничават само до профилни снимки – сред тях има и лични съобщения със снимки, както и изображения, премахнати от модераторите.
Какви са рисковете?
Изтичането на подобен чувствителен материал крие сериозни рискове за потребителите.
-
Изнудване – Хакери биха могли да използват снимките, за да заплашват и изнудват потребители.
-
Опасност за ЛГБТ общността – В някои държави хомосексуалността все още е незаконна и разкриването на подобни данни може да застраши живота на хората.
-
Нарушение на личното пространство – Частни снимки, изпращани в лични съобщения, са станали публично достояние.
За щастие, изглежда, че текстовото съдържание на личните съобщения не е било компрометирано, а изображенията не са свързани директно с потребителски имена.
Как реагира компанията?
След като беше потърсена от BBC, M.A.D Mobile най-накрая затвори уязвимостта и благодари на изследователите за разкриването на проблема.
„Оценяваме тяхната работа и вече сме предприели необходимите стъпки за справяне с проблема. Очаквайте допълнителна актуализация за приложенията в App Store през следващите дни“, заявиха от компанията.
M.A.D Mobile обаче не даде отговор защо е игнорирала предупрежденията повече от месец и как се е стигнало до този сериозен пропуск в сигурността.
Исторически паралел
Случаят напомня на атаката срещу Ashley Madison през 2015 г., когато хакери откраднаха данните на милиони потребители на сайт за извънбрачни връзки. Тогава последиците бяха опустошителни – някои хора загубиха работата и семействата си, а други дори посегнаха на живота си.
Макар че този нов случай все още не е довел до такива трагични последствия, той отново подчертава колко важна е киберсигурността, особено в платформи, които боравят с толкова чувствителна информация.
