Семейное приложение выдавало местоположение пользователей

Популярное приложение для отслеживания местоположения членов своей семьи в течение нескольких недель сообщало о местонахождении более 238 000 пользователей в режиме реального времени после того, как разработчик оставил сервер открытым без пароля.

Приложение Family Locator, созданное австралийской компанией React Apps, позволяет членам семьи отслеживать друг друга в режиме реального времени, например, супругам или родителям, желающим узнать, где находятся их дети. Оно также позволяет пользователям настраивать оповещения с геозоной для отправки уведомления, когда член семьи входит в эту зону или, наоборот, покидает ее, например, школу или работу.

Но внутренняя база данных MongoDB осталась незащищенной и доступной любому, кто знал, где искать. Саньям Джейн (Sanyam Jain), исследователь в области безопасности и член GDI Foundation, нашел доступную всем базу данных и сообщил об этом изданию TechCrunch.

После изучения базы данных издание выяснило, что каждая учетная запись в ней содержала имя пользователя, адрес электронной почты, фотографию профиля и его незашифрованный пароль. Помимо этого, в каждой учетке содержалась информация о местоположении других членов семьи в реальном времени с точностью до нескольких метров. Любой пользователь, у которого была настроена учетная запись в этом приложении, мог сохранять координаты других, а также мест, которые были обозначены пользователями, как “Дом” или “Работа”. Все эти данные вообще никак не были зашифрованы.

Издание TechCrunch проверило содержимое базы данных, установив приложение и зарегистрировавшись в нем, используя фиктивный адрес электронной почты. Через несколько секунд местоположение нового пользователя в реальном времени появилось в виде точных координат в базе данных. Затем представители издания связались с одним из пользователей приложения и он, хотя и был сильно удивлен, подтвердил, что вся информация о нем, которая есть в базе данных точна, и даже его координаты в данный момент. Также этот пользователь сказал, что член семьи, чьи координаты тоже есть в базе данных, является его ребенком, а координаты указывают на школу, где он сейчас находится. Это не единственный пользователь, с которым связалось TechCrunch и убедилось, что все данные в базе совпадают с реальными.

TechCrunch целую неделю пытались связаться с разработчиком React Apps, но безрезультатно. На сайте компании отсутствует какая-либо контактная информация, равно как и политика конфиденциальности. У записи WHOIS, которая содержит информацию о владельце сайта, была активирована конфиденциальность, маскирующая адрес электронной почты владельца. TechCrunch даже купили записи компании у Австралийской комиссии по ценным бумагам и инвестициям только для того, чтобы узнать имя владельца компании – Сандип Манн Сингх (Sandip Mann Singh), но без контактной информации. Затем отправили несколько сообщений через форму обратной связи компании, но не получили подтверждения.

В пятницу TechCrunch попросило Microsoft, которая разместила базу данных в своем облаке Azure, связаться с разработчиком. Через несколько часов база данных была окончательно отключена. Точно неизвестно, как долго была доступна база данных. Сингх до сих пор не признал утечку данных.

Делитесь своим мнением в комментариях под этим материалом и в нашем Telegram-чате.

Теги
Лонгриды для вас
ТОП-5 моих любимых браузеров для телефона

Обычно при покупке смартфона на Android в нем установлено два браузера. Первым, конечно, является Google Chrome, а вторым фирменный браузер производителя смартфона. Зачем он нужен не очень понятно, но это правило хорошего тона - он должен быть и компания должна его как-то развивать. Возможно, вас в таком положении вещей что-то не устраивало и вы хотели попробоваться что-то иное. Так вот это иное есть и его очень много. Существует масса браузеров для смартфона, с которыми тоже можно жить и у каждого их которых есть свои преимущества. Если мысли о чем-то новом вас не покидают, я постараюсь помочь вам с выбором.

Читать далее
Яндекс.Браузер
«Яндекс.Браузер» — лучший браузер для Android, но я всё равно выбираю Google Chrome

Какой браузер для Android лучше? Наверное, это самый популярный вопрос после «Какой смартфон выбрать?». Почему-то пользователи в большинстве своём уверены, что штатный софт по определению не может быть хорошим, а значит, его нужно заменить на что-то альтернативное. Нередко так и бывает, потому что цель производителей состоит в том, чтобы дать покупателям смартфонов базовый набор приложений с базовыми возможностями. А тем, кому нужен расширенный набор функций, просто скачивают решения сторонних разработчиков. Но как быть с браузером?

Читать далее
Как удалённо показать экран телефона на Android

Запись экрана – это функция, которая есть почти в каждом смартфоне. Несмотря на то что по умолчанию Android её не поддерживает, большинство сторонних оболочек предлагают её в числе базовых возможностей. Другое дело, что записывать экран, помимо того, что не всегда удобно, так ещё и неинтерактивно. То есть у того, кому предназначается запись, не будет возможности задать вам по ходу просмотра уточняющие вопросы. А значит, эффективность понимания происходящего на экране снизится, если вы таким образом объясняете, как работает та или иная функция. Поэтому лучше всего показывать свой экран в реальном времени, тем более это так просто.

Читать далее

1 комментарий Оставить свой

  1. Sergio Barbery

    Индусский код такой и есть.

Новый комментарий