Семейное приложение выдавало местоположение пользователей

Популярное приложение для отслеживания местоположения членов своей семьи в течение нескольких недель сообщало о местонахождении более 238 000 пользователей в режиме реального времени после того, как разработчик оставил сервер открытым без пароля.

Приложение Family Locator, созданное австралийской компанией React Apps, позволяет членам семьи отслеживать друг друга в режиме реального времени, например, супругам или родителям, желающим узнать, где находятся их дети. Оно также позволяет пользователям настраивать оповещения с геозоной для отправки уведомления, когда член семьи входит в эту зону или, наоборот, покидает ее, например, школу или работу.

Но внутренняя база данных MongoDB осталась незащищенной и доступной любому, кто знал, где искать. Саньям Джейн (Sanyam Jain), исследователь в области безопасности и член GDI Foundation, нашел доступную всем базу данных и сообщил об этом изданию TechCrunch.

После изучения базы данных издание выяснило, что каждая учетная запись в ней содержала имя пользователя, адрес электронной почты, фотографию профиля и его незашифрованный пароль. Помимо этого, в каждой учетке содержалась информация о местоположении других членов семьи в реальном времени с точностью до нескольких метров. Любой пользователь, у которого была настроена учетная запись в этом приложении, мог сохранять координаты других, а также мест, которые были обозначены пользователями, как “Дом” или “Работа”. Все эти данные вообще никак не были зашифрованы.

Издание TechCrunch проверило содержимое базы данных, установив приложение и зарегистрировавшись в нем, используя фиктивный адрес электронной почты. Через несколько секунд местоположение нового пользователя в реальном времени появилось в виде точных координат в базе данных. Затем представители издания связались с одним из пользователей приложения и он, хотя и был сильно удивлен, подтвердил, что вся информация о нем, которая есть в базе данных точна, и даже его координаты в данный момент. Также этот пользователь сказал, что член семьи, чьи координаты тоже есть в базе данных, является его ребенком, а координаты указывают на школу, где он сейчас находится. Это не единственный пользователь, с которым связалось TechCrunch и убедилось, что все данные в базе совпадают с реальными.

TechCrunch целую неделю пытались связаться с разработчиком React Apps, но безрезультатно. На сайте компании отсутствует какая-либо контактная информация, равно как и политика конфиденциальности. У записи WHOIS, которая содержит информацию о владельце сайта, была активирована конфиденциальность, маскирующая адрес электронной почты владельца. TechCrunch даже купили записи компании у Австралийской комиссии по ценным бумагам и инвестициям только для того, чтобы узнать имя владельца компании – Сандип Манн Сингх (Sandip Mann Singh), но без контактной информации. Затем отправили несколько сообщений через форму обратной связи компании, но не получили подтверждения.

В пятницу TechCrunch попросило Microsoft, которая разместила базу данных в своем облаке Azure, связаться с разработчиком. Через несколько часов база данных была окончательно отключена. Точно неизвестно, как долго была доступна база данных. Сингх до сих пор не признал утечку данных.

Делитесь своим мнением в комментариях под этим материалом и в нашем Telegram-чате.

Теги
Лонгриды для вас
Google Фото
Как узнать, на сколько вам хватит места в Google Фото

Уже в понедельник, 1 июня, Google навсегда отключит безлимитное хранилище в «Google Фото». С этого момент у пользователей сервиса больше не будет возможности загружать в облако фотографии и видеозаписи в неограниченном количестве. По умолчанию доступный объём будет равен 15 ГБ, которые «Google Фото» будет делить с Google Drive и Gmail. Так что пользователям, которые не хотят оформлять платную подписку и увеличивать хранилище, придётся тщательно отлеживать, сколько ещё пространства им осталось. Благо, теперь сервис предлагает для этого специальный инструмент.

Читать далее
imei
Что такое IMEI, и почему он так важен

Сейчас почти у любой мало-мальски ценной вещи есть какой-то свой уникальный идентификатор. Он позволяет не только отслеживать ее перемещения, начиная с завода, но и идентифицировать в случае кражи. У электроники - это серийные номера, у автомобиля - государственный номер и VIN, а у смартфонов - это IMEI. Многие недооценивают его важность, хотя на самом деле это по сути главное, что есть у смартфона, и он позволяет сделать многое не только нам, но и с нами. Это как ИНН или номер паспорта для человека, и поэтому к нему надо относиться внимательно и даже с некоторым трепетом. Хотя, и переусердствовать не стоит. Давайте разберемся, что это за набор цифр, зачем он нужен и что несет в себе.

Читать далее
Google Ассистент может стать частью YouTube. Что нам это даст

Когда надо назвать самые популярные приложения для телефона, не только статистика, но и сами пользователи часто вспоминают именно YouTube. Действительно, что может быть более полезным, чем простое приложение с ненавязчивым роликами, когда ты находишься в дороге или хочешь скоротать несколько минут своего времени. А еще есть Google Ассистент, который проник буквально во все части экосистемы Google, обвив ее своими плотными щупальцами. Теперь пришло время этим двум продуктам встретиться, чтобы они смогли вместе создать что-то очень удобное и функциональное. Но что из этого получится, как этим можно будет пользоваться и для чего вообще нужен такой симбиоз? Тут надо разобраться.

Читать далее
1 комментарий
  1. Sergio Barbery

    Индусский код такой и есть.

Новый комментарий