Вразливість у додатках для знайомств
Дослідники виявили, що близько 1,5 мільйона фотографій з додатків для знайомств, багато з яких є відвертими, зберігаються в Інтернеті без паролів. Це робить їх вразливими для хакерів та шантажистів. Кожен, хто мав посилання, міг переглядати приватні фото з п'яти платформ, розроблених компанією M.A.D Mobile: BDSM People, Chica, а також LGBT-додатків Pink, Brish і Translove. Ці сервіси використовуються приблизно 800,000 до 900,000 людей.
M.A.D Mobile вперше отримала попередження про цю вразливість 20 січня, але не вжила жодних заходів до того, як BBC надіслала електронний лист у п'ятницю. Після цього компанія виправила проблему, але не пояснила, як це сталося і чому не вдалося захистити чутливі зображення.
Виявлення вразливості
Етичний хакер Арас Назаровас з Cybernews першим повідомив компанію про цю вразливість, виявивши місце зберігання даних, використовуючи код, що підтримує сервіси. Він був шокований, що зміг отримати доступ до незахищених фотографій без пароля. "Перший додаток, який я досліджував, був BDSM People, і перше зображення в папці було оголеним чоловіком у тридцятих роках," - сказав він. "Як тільки я це побачив, я зрозумів, що ця папка не повинна бути публічною."
Зображення не обмежувалися лише профільними фото; вони також включали зображення, які були надіслані приватно в повідомленнях, і навіть деякі, які були видалені модераторами. Назаровас зазначив, що виявлення незахищеного чутливого матеріалу несе значний ризик для користувачів платформ. Зловмисні хакери могли знайти ці зображення та шантажувати людей. Існує також ризик для тих, хто живе в країнах, ворожих до ЛГБТ-людей.
Реакція компанії
У електронному листі M.A.D Mobile висловила вдячність досліднику за виявлення вразливості в додатках, щоб запобігти витоку даних. Але немає гарантії, що Назаровас був єдиним хакером, який знайшов цю колекцію зображень. "Ми цінуємо їхню роботу і вже вжили необхідних заходів для вирішення проблеми," - сказав представник M.A.D Mobile. "Додаткове оновлення для додатків буде випущено в App Store найближчими днями."
Компанія не відповіла на подальші запитання про те, де вона базується і чому знадобилося кілька місяців для вирішення проблеми після численних попереджень від дослідників. Зазвичай дослідники з безпеки чекають, поки вразливість буде виправлена, перш ніж публікувати звіт в Інтернеті, щоб не наражати користувачів на подальший ризик атаки. Але Назаровас і його команда вирішили підняти тривогу в четвер, поки проблема ще існувала, оскільки були стурбовані, що компанія нічого не робить для її виправлення. "Це завжди важке рішення, але ми вважаємо, що громадськість повинна знати, щоб захистити себе," - сказав він.
У 2015 році зловмисні хакери вкрали велику кількість даних про користувачів Ashley Madison, сайту знайомств для одружених людей, які хочуть зрадити своїм партнерам.