Trwa ładowanie...
d1pcll1

USA: Wyciek z nieprzyzwoitej aplikacji randkowej. Ktoś korzystał z niej w Białym Domu

1,5 miliona użytkowników zostało praktycznie ujawnionych światu. Ich dane osobowe, w tym lokalizacja nawet w czasie rzeczywistym, może sprawdzić praktycznie każdy. O krytycznej luce w zabezpieczeniach poinformował Ken Munro, założyciel Pen Test Partners.
Głosuj
Głosuj
Podziel się
Opinie
Prawdopodobnie w Białym Domu ktoś korzystał z aplikacji "do trójkącików"
Prawdopodobnie w Białym Domu ktoś korzystał z aplikacji "do trójkącików" (Materiały prasowe)
d1pcll1

Jak pisze Munro na swoim blogu: "To prawdopodobnie najgorsze zabezpieczenie aplikacji randkowej, jakie kiedykolwiek widzieliśmy". Według analityka z Pen Test Partners, aplikacja 3Fun w prosty sposób ujawnia dokładną lokalizację, zdjęcia a także dane osobowe każdego użytkownika, który znajdzie się w pobliżu nas.

Zabezpieczenia aplikacji są na tyle znikome, że w prosty sposób można manipulować lokalizacją. Wystarczy klasyczny "Fake GPS". Zatem co zrobił Munro? Postanowił ustawić lokalizację na te miejsca, których najmniej byście się spodziewali.

Ken Munro sprawdził użytkowników aplikacji 3Fun w pobliżu Białego Domu, 10 Downing Street (biurze premiera Wielkiej Brytanii), bazach wojskowych, znanych siedzibach agencji wywiadowczych, czy w siedzibie Sądu Najwyższego Stanów Zjednoczonych. W każdym z tych budynków znalazł chociaż jednego użytkownika.

   pentestpartners.com
(pentestpartners.com)

Ale nie można wyciągać pochopnych wniosków. Możliwe, że lokalizacja użytkowników została zmanipulowana w identyczny sposób, jak zrobił to Munro. Nie mniej jednak, czy działoby się to na tak wielką skalę? Dziennikarze TechCrunch przetestowali metodę Munro i otrzymali bardzo podobne wyniki.

d1pcll1

"W obu lokalizacjach znaleźliśmy profile użytkowników, i byliśmy w stanie dotrzeć do ich orientacji seksualnej, preferencji, wieku, imienia, ich opisu który zawierał wiele specyficznych informacji osobowych oraz ich zdjęcia profilowe. W niektórych przypadkach udało się dotrzeć także do daty urodzenia" - czytamy w serwisie TechCrunch.

   pentestpartners.com
(pentestpartners.com)

Do uzyskania takich danych wystarczył atak rodzaju man-in-the-middle, przeprowadzony za pomocą narzędzia Burp Suite. Żadne z danych nie zostały zakodowane. Specjaliści określili ten brak zabezpieczenia jako "privacy train wreck".

d1pcll1

Munro skontaktował się z twórcami 3Fun 1 lipca i opowiedział o wszystkich lukach, jakie udało mu się wykryć. Stworzenie realnych zabezpieczeń zajęło programistom kilka tygodni. Dopiero wówczas Munro postanowił ujawnić informacje na swoim blogu. Dziennikarzom TechCrunch dał znać o sprawie wcześniej, zanim jeszcze wprowadzono zmiany w zabezpieczeniach.

Zobacz też: Rosyjscy hakerzy używali urządzeń IoT do przeprowadzania ataków

Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl

d1pcll1

Podziel się opinią

Share
d1pcll1
d1pcll1
Więcej tematów