Notebookcheck Logo

Massive adatvédelmi megsértése hiánypótló társkereső alkalmazások kiteszi érzékeny felhasználói fotókat

Az öt érintett alkalmazás között akár 900.000 felhasználó is érintett lehet (Kép forrása: M.A.D. Mobile - szerkesztés)
Az öt érintett alkalmazás között akár 900.000 felhasználó is érintett lehet (Kép forrása: M.A.D. Mobile - szerkesztés)
Az iOS-alkalmazások biztonsági vizsgálata hatalmas adatvédelmi incidensre derített fényt - 1,5 millió, több speciális társkereső alkalmazásba feltöltött felhasználói képet tettek nyilvánosan hozzáférhetővé bárki számára, aki ismerte az URL-címet. A fejlesztő M.A.D. Mobile azóta orvosolta a problémát, de a javítás hónapokkal a kutatók kezdeti figyelmeztetései után érkezett.
Security Social Media Fail Cyberlaw

Egy nagyszabású vizsgálat részeként a biztonsági hiányosságok iOS alkalmazások, Cybernews fedezte égbekiáltó problémák, amelyek azt eredményezhették, hogy egy hatalmas szivárgás a privát fotók számos niche társkereső alkalmazások, minden egy M.A.D. Mobile. Ezek a képek nem csak nyilvános profilokból és bejegyzésekből, hanem a felhasználói csevegésekből is származtak, sőt, még a moderátorok által eltávolítottak is benne voltak. Mondanom sem kell, hogy sok ilyen fotó explicit jellegű volt.

Az M.A.D. Mobile öt alkalmazása volt érintett: a BDSM People, a luxus "cukros randizó" Chica alkalmazás, valamint a Pink, Brish és Translovefound LMBT alkalmazások. Ezek az alkalmazások nem csak azonos architektúrát használtak, de a kritikus biztonsági hitelesítő adatokat nyíltan, egyszerű szövegként hagyták az alkalmazás kódjában. Ezek a titkos kulcsok vezették a kutatókat a Google Cloud Storage vödrökhöz, ahol a fotók mindenféle titkosítás vagy jelszavas védelem nélkül hevertek. Ez azt jelentette, hogy bárki hozzáférhetett a médiához, aki ismerte az URL-címet - amely nyilvánosan hozzáférhető volt.

Természetesen minden olyan esetben, amikor a privát fotók potenciálisan ki vannak téve a rosszindulatú szereplőknek, fennáll a zaklatás, a zsarolás és a jó hírnév sérülésének kockázata. Azonban a következmények egy adatvédelmi incidens valószínűleg sokkal súlyosabbak lennének a speciális társkereső alkalmazások felhasználói számára, különösen mivel a homoszexualitás számos országban illegális.

A kiszivárgás mértéke megdöbbentő - több mint 1,5 millió felhasználó által feltöltött fotó, vagyis több száz gigabájtnyi adat. Apró kegyelem, hogy a kiszivárgott adatok nem tartalmazták a felhasználók személyazonosságát, felhasználóneveit, e-mailjeit vagy üzeneteit, de egy egyszerű fordított képkereséssel ez könnyen megkerülhető. Figyelemre méltó, hogy mind az öt alkalmazás kizárólag iOS-re készült, nincs Android vagy webes verzió.

A Cybernews kutatói először januárban keresték meg az M.A.D. Mobile-t, de a kiszivárgás továbbra sem történt meg. A vállalat további tétlenségétől tartva, és saját bevett gyakorlatával ellentétben a Cybernews úgy döntött, hogy a oldalon közzétesz egy jelentést a problémáról, mielőtt azt orvosolták volna. Csak azután, hogy a BBC e-mailben elküldte a cég képviselője azt válaszolta, hogy a hibát valóban kijavították, és megköszönte a kutatók segítségét.

Ez az eset csak rávilágít arra, amit a kiberbiztonság területén már sokan tudnak: a harmadik féltől származó iOS-alkalmazások semmiképp sem eleve biztonságosak az adatvédelmi incidensek ellen. Valójában a Cybernews vizsgálata nyugtalanító felismerést hozott. A 156 000 vizsgált alkalmazásból (vagyis a Apple Store összes alkalmazásának 8%-ából) 71%-ról derült ki, hogy legalább egy titkot felfedett. Az átlagos alkalmazás kódja 5,2 titkot fedett fel.

A legnagyobb tanulság ebből az incidensből az, hogy a felhasználóknak teljesen el kell kerülniük az ismeretlen kiadók alkalmazásainak használatát, különösen, ha nagyon érzékeny információkról van szó. Konkrétan, az érzékeny médiát csak a következő oldalakon szabad megosztani titkosított platformokon és szolgáltatásokon, amelyek nem csak bizonyos fokú védelmet, hanem nyilvános elszámoltathatóságot is biztosítanak.

Forrás(ok)

Please share our article, every link counts!
Mail Logo
> Magyarország - Kezdőlap > Newsarchive 2025 04 > Massive adatvédelmi megsértése hiánypótló társkereső alkalmazások kiteszi érzékeny felhasználói fotókat
Vishal Bhardwaj, 2025-04- 2 (Update: 2025-04- 2)