Дослідники з безпеки виявили, що мільйони приватних зображень зі спеціалізованих додатків для знайомств були доступні з Інтернету без захисту. Оскільки багато з них є відвертими знімками, це може бути небезпечним для користувачів.

БДСМ та ЛГБТК+

Постраждали п’ять платформ розробника M.A.D Mobile, повідомила британська BBC: сайти знайомств для БДСМ “BDSM People” та “Chica”, а також ЛГБТК+ додатки “Pink”, “Brish” та “Translove”. Загалом цими сервісами користуються від 800 000 до 900 000 людей.

Дослідник з безпеки Арас Назаровас з Cybernews виявив вразливість, аналізуючи код додатків і натрапивши на місце зберігання зображень.

“Я міг отримати доступ до незашифрованих та незахищених фотографій без пароля. Перше зображення, яке я побачив, було оголеним чоловіком близько 30 років – тоді я одразу зрозумів, що ця папка не повинна бути публічною“, – повідомив він.

Окрім зображень профілю, у незахищеному сховищі були також приватно надіслані та навіть видалені модераторами знімки.

Про вразливість було повідомлено M.A.D Mobile ще 20 січня. Однак компанія відреагувала лише після запиту BBC минулої п’ятниці та усунула вразливість. Чому дані були незахищеними та чому проблему було усунено так пізно, залишилося без відповіді.

Ризик через недбалість

Така недбалість з боку провайдера особливо проблематична для користувачів, які живуть у країнах, де переслідують, зокрема, ЛГБТК+ людей. Хоча збережені зображення не містили імен чи імен користувачів, що ускладнило б цілеспрямовані атаки, ризик викрадення особистих даних та вимагання залишається.

У заяві M.A.D Mobile зазначила, що вони вдячні досліднику за виявлення вразливості та вже вжили заходів. Оновлення для постраждалих додатків має бути випущено найближчими днями. Проте залишається незрозумілим, чи мали треті особи доступ до зображень. Витік даних нагадує масштабну хакерську атаку на Ashley Madison у 2015 році, коли було викрадено мільйони даних користувачів платформи для позашлюбних зв’язків.

Джерело

Сподобалось? Знайди хвилинку, щоб підтримати нас на Patreon!