Massive adatvédelmi megsértése hiánypótló társkereső alkalmazások kiteszi érzékeny felhasználói fotókat
Egy nagyszabású vizsgálat részeként a biztonsági hiányosságok iOS alkalmazások, Cybernews fedezte égbekiáltó problémák, amelyek azt eredményezhették, hogy egy hatalmas szivárgás a privát fotók számos niche társkereső alkalmazások, minden egy M.A.D. Mobile. Ezek a képek nem csak nyilvános profilokból és bejegyzésekből, hanem a felhasználói csevegésekből is származtak, sőt, még a moderátorok által eltávolítottak is benne voltak. Mondanom sem kell, hogy sok ilyen fotó explicit jellegű volt.
Az M.A.D. Mobile öt alkalmazása volt érintett: a BDSM People, a luxus "cukros randizó" Chica alkalmazás, valamint a Pink, Brish és Translovefound LMBT alkalmazások. Ezek az alkalmazások nem csak azonos architektúrát használtak, de a kritikus biztonsági hitelesítő adatokat nyíltan, egyszerű szövegként hagyták az alkalmazás kódjában. Ezek a titkos kulcsok vezették a kutatókat a Google Cloud Storage vödrökhöz, ahol a fotók mindenféle titkosítás vagy jelszavas védelem nélkül hevertek. Ez azt jelentette, hogy bárki hozzáférhetett a médiához, aki ismerte az URL-címet - amely nyilvánosan hozzáférhető volt.
Természetesen minden olyan esetben, amikor a privát fotók potenciálisan ki vannak téve a rosszindulatú szereplőknek, fennáll a zaklatás, a zsarolás és a jó hírnév sérülésének kockázata. Azonban a következmények egy adatvédelmi incidens valószínűleg sokkal súlyosabbak lennének a speciális társkereső alkalmazások felhasználói számára, különösen mivel a homoszexualitás számos országban illegális.
A kiszivárgás mértéke megdöbbentő - több mint 1,5 millió felhasználó által feltöltött fotó, vagyis több száz gigabájtnyi adat. Apró kegyelem, hogy a kiszivárgott adatok nem tartalmazták a felhasználók személyazonosságát, felhasználóneveit, e-mailjeit vagy üzeneteit, de egy egyszerű fordított képkereséssel ez könnyen megkerülhető. Figyelemre méltó, hogy mind az öt alkalmazás kizárólag iOS-re készült, nincs Android vagy webes verzió.
A Cybernews kutatói először januárban keresték meg az M.A.D. Mobile-t, de a kiszivárgás továbbra sem történt meg. A vállalat további tétlenségétől tartva, és saját bevett gyakorlatával ellentétben a Cybernews úgy döntött, hogy a oldalon közzétesz egy jelentést a problémáról, mielőtt azt orvosolták volna. Csak azután, hogy a BBC e-mailben elküldte a cég képviselője azt válaszolta, hogy a hibát valóban kijavították, és megköszönte a kutatók segítségét.
Ez az eset csak rávilágít arra, amit a kiberbiztonság területén már sokan tudnak: a harmadik féltől származó iOS-alkalmazások semmiképp sem eleve biztonságosak az adatvédelmi incidensek ellen. Valójában a Cybernews vizsgálata nyugtalanító felismerést hozott. A 156 000 vizsgált alkalmazásból (vagyis a Apple Store összes alkalmazásának 8%-ából) 71%-ról derült ki, hogy legalább egy titkot felfedett. Az átlagos alkalmazás kódja 5,2 titkot fedett fel.
A legnagyobb tanulság ebből az incidensből az, hogy a felhasználóknak teljesen el kell kerülniük az ismeretlen kiadók alkalmazásainak használatát, különösen, ha nagyon érzékeny információkról van szó. Konkrétan, az érzékeny médiát csak a következő oldalakon szabad megosztani titkosított platformokon és szolgáltatásokon, amelyek nem csak bizonyos fokú védelmet, hanem nyilvános elszámoltathatóságot is biztosítanak.
