USA: Wyciek z nieprzyzwoitej aplikacji randkowej. Ktoś korzystał z niej w Białym Domu
1,5 miliona użytkowników zostało praktycznie ujawnionych światu. Ich dane osobowe, w tym lokalizacja nawet w czasie rzeczywistym, może sprawdzić praktycznie każdy. O krytycznej luce w zabezpieczeniach poinformował Ken Munro, założyciel Pen Test Partners.
09.08.2019 16:01
Jak pisze Munro na swoim blogu: "To prawdopodobnie najgorsze zabezpieczenie aplikacji randkowej, jakie kiedykolwiek widzieliśmy". Według analityka z Pen Test Partners, aplikacja 3Fun w prosty sposób ujawnia dokładną lokalizację, zdjęcia a także dane osobowe każdego użytkownika, który znajdzie się w pobliżu nas.
Zabezpieczenia aplikacji są na tyle znikome, że w prosty sposób można manipulować lokalizacją. Wystarczy klasyczny "Fake GPS". Zatem co zrobił Munro? Postanowił ustawić lokalizację na te miejsca, których najmniej byście się spodziewali.
Ken Munro sprawdził użytkowników aplikacji 3Fun w pobliżu Białego Domu, 10 Downing Street (biurze premiera Wielkiej Brytanii), bazach wojskowych, znanych siedzibach agencji wywiadowczych, czy w siedzibie Sądu Najwyższego Stanów Zjednoczonych. W każdym z tych budynków znalazł chociaż jednego użytkownika.
Ale nie można wyciągać pochopnych wniosków. Możliwe, że lokalizacja użytkowników została zmanipulowana w identyczny sposób, jak zrobił to Munro. Nie mniej jednak, czy działoby się to na tak wielką skalę? Dziennikarze TechCrunch przetestowali metodę Munro i otrzymali bardzo podobne wyniki.
"W obu lokalizacjach znaleźliśmy profile użytkowników, i byliśmy w stanie dotrzeć do ich orientacji seksualnej, preferencji, wieku, imienia, ich opisu który zawierał wiele specyficznych informacji osobowych oraz ich zdjęcia profilowe. W niektórych przypadkach udało się dotrzeć także do daty urodzenia" - czytamy w serwisie TechCrunch.
Do uzyskania takich danych wystarczył atak rodzaju man-in-the-middle, przeprowadzony za pomocą narzędzia Burp Suite. Żadne z danych nie zostały zakodowane. Specjaliści określili ten brak zabezpieczenia jako "privacy train wreck".
Zobacz także
Munro skontaktował się z twórcami 3Fun 1 lipca i opowiedział o wszystkich lukach, jakie udało mu się wykryć. Stworzenie realnych zabezpieczeń zajęło programistom kilka tygodni. Dopiero wówczas Munro postanowił ujawnić informacje na swoim blogu. Dziennikarzom TechCrunch dał znać o sprawie wcześniej, zanim jeszcze wprowadzono zmiany w zabezpieczeniach.