Семейное приложение выдавало местоположение пользователей

Популярное приложение для отслеживания местоположения членов своей семьи в течение нескольких недель сообщало о местонахождении более 238 000 пользователей в режиме реального времени после того, как разработчик оставил сервер открытым без пароля.

Семейное приложение выдавало местоположение пользователей. Фото.

Приложение Family Locator, созданное австралийской компанией React Apps, позволяет членам семьи отслеживать друг друга в режиме реального времени, например, супругам или родителям, желающим узнать, где находятся их дети. Оно также позволяет пользователям настраивать оповещения с геозоной для отправки уведомления, когда член семьи входит в эту зону или, наоборот, покидает ее, например, школу или работу.

Семейное приложение выдавало местоположение пользователей. Фото.

Но внутренняя база данных MongoDB осталась незащищенной и доступной любому, кто знал, где искать. Саньям Джейн (Sanyam Jain), исследователь в области безопасности и член GDI Foundation, нашел доступную всем базу данных и сообщил об этом изданию TechCrunch.

После изучения базы данных издание выяснило, что каждая учетная запись в ней содержала имя пользователя, адрес электронной почты, фотографию профиля и его незашифрованный пароль. Помимо этого, в каждой учетке содержалась информация о местоположении других членов семьи в реальном времени с точностью до нескольких метров. Любой пользователь, у которого была настроена учетная запись в этом приложении, мог сохранять координаты других, а также мест, которые были обозначены пользователями, как “Дом” или “Работа”. Все эти данные вообще никак не были зашифрованы.

Семейное приложение выдавало местоположение пользователей. Фото.

Издание TechCrunch проверило содержимое базы данных, установив приложение и зарегистрировавшись в нем, используя фиктивный адрес электронной почты. Через несколько секунд местоположение нового пользователя в реальном времени появилось в виде точных координат в базе данных. Затем представители издания связались с одним из пользователей приложения и он, хотя и был сильно удивлен, подтвердил, что вся информация о нем, которая есть в базе данных точна, и даже его координаты в данный момент. Также этот пользователь сказал, что член семьи, чьи координаты тоже есть в базе данных, является его ребенком, а координаты указывают на школу, где он сейчас находится. Это не единственный пользователь, с которым связалось TechCrunch и убедилось, что все данные в базе совпадают с реальными.

TechCrunch целую неделю пытались связаться с разработчиком React Apps, но безрезультатно. На сайте компании отсутствует какая-либо контактная информация, равно как и политика конфиденциальности. У записи WHOIS, которая содержит информацию о владельце сайта, была активирована конфиденциальность, маскирующая адрес электронной почты владельца. TechCrunch даже купили записи компании у Австралийской комиссии по ценным бумагам и инвестициям только для того, чтобы узнать имя владельца компании – Сандип Манн Сингх (Sandip Mann Singh), но без контактной информации. Затем отправили несколько сообщений через форму обратной связи компании, но не получили подтверждения.

В пятницу TechCrunch попросило Microsoft, которая разместила базу данных в своем облаке Azure, связаться с разработчиком. Через несколько часов база данных была окончательно отключена. Точно неизвестно, как долго была доступна база данных. Сингх до сих пор не признал утечку данных.

Делитесь своим мнением в комментариях под этим материалом и в нашем Telegram-чате.

Теги
Лонгриды для вас
Как жить между Android, Windows, iPhone и Mac. Сложно, но можно

К 2025 году передача файла с телефона на ноутбук должна быть элементарной задачей, но на практике всё обстоит намного сложнее, особенно если ваши устройства принадлежат сразу к нескольким экосистемам. Жизнь между Android, Windows, iPhone и Mac превращается в ежедневный квест, где простейшие действия требуют много времени и терпения. Это настоящая боль для тех, кто не может или не хочет покупать устройства из одной экосистемы и пользоваться ими одновременно.

Читать далее
Сколько баллов AnTuTu набирают смартфоны Samsung: выбираем самый мощный Galaxy

Бенчмарк AnTuTu уже многие годы является главным мерилом производительности смартфонов, ведь намного легче анализировать абстрактные цифры, чем разбираться в особенностях процессоров и оптимизации каждой отдельно взятой модели. Несмотря на скептическое отношение профессионалов, синтетические тесты остаются весьма показательными, и с их помощью можно определить самое мощное устройство. Например, в линейке Galaxy. Давайте-ка поглядим, сколько баллов в AnTuTu набирает Samsung.

Читать далее
Первые пользователи Android 16 жалуются на большое количества багов. Не спешите обновляться

Недавно Google выпустила стабильную версию Android 16 для всех владельцев Pixel, которые не участвовали в бета-тестировании. Логично было ожидать, что появятся определённые жалобы, ведь новые версии Android практически всегда приносят изменения, иногда сбивают настройки и сильно влияют на работу приложений. Многие пользователи не любят перемены, особенно если они мешают привычному использованию устройства. Однако, несмотря на то что Android 16 выглядит не самым крупным обновлением, оно вызвало настоящий шквал негативных отзывов.

Читать далее
Новости партнеров