Семейное приложение выдавало местоположение пользователей

Популярное приложение для отслеживания местоположения членов своей семьи в течение нескольких недель сообщало о местонахождении более 238 000 пользователей в режиме реального времени после того, как разработчик оставил сервер открытым без пароля.

Приложение Family Locator, созданное австралийской компанией React Apps, позволяет членам семьи отслеживать друг друга в режиме реального времени, например, супругам или родителям, желающим узнать, где находятся их дети. Оно также позволяет пользователям настраивать оповещения с геозоной для отправки уведомления, когда член семьи входит в эту зону или, наоборот, покидает ее, например, школу или работу.

Но внутренняя база данных MongoDB осталась незащищенной и доступной любому, кто знал, где искать. Саньям Джейн (Sanyam Jain), исследователь в области безопасности и член GDI Foundation, нашел доступную всем базу данных и сообщил об этом изданию TechCrunch.

После изучения базы данных издание выяснило, что каждая учетная запись в ней содержала имя пользователя, адрес электронной почты, фотографию профиля и его незашифрованный пароль. Помимо этого, в каждой учетке содержалась информация о местоположении других членов семьи в реальном времени с точностью до нескольких метров. Любой пользователь, у которого была настроена учетная запись в этом приложении, мог сохранять координаты других, а также мест, которые были обозначены пользователями, как “Дом” или “Работа”. Все эти данные вообще никак не были зашифрованы.

Издание TechCrunch проверило содержимое базы данных, установив приложение и зарегистрировавшись в нем, используя фиктивный адрес электронной почты. Через несколько секунд местоположение нового пользователя в реальном времени появилось в виде точных координат в базе данных. Затем представители издания связались с одним из пользователей приложения и он, хотя и был сильно удивлен, подтвердил, что вся информация о нем, которая есть в базе данных точна, и даже его координаты в данный момент. Также этот пользователь сказал, что член семьи, чьи координаты тоже есть в базе данных, является его ребенком, а координаты указывают на школу, где он сейчас находится. Это не единственный пользователь, с которым связалось TechCrunch и убедилось, что все данные в базе совпадают с реальными.

TechCrunch целую неделю пытались связаться с разработчиком React Apps, но безрезультатно. На сайте компании отсутствует какая-либо контактная информация, равно как и политика конфиденциальности. У записи WHOIS, которая содержит информацию о владельце сайта, была активирована конфиденциальность, маскирующая адрес электронной почты владельца. TechCrunch даже купили записи компании у Австралийской комиссии по ценным бумагам и инвестициям только для того, чтобы узнать имя владельца компании – Сандип Манн Сингх (Sandip Mann Singh), но без контактной информации. Затем отправили несколько сообщений через форму обратной связи компании, но не получили подтверждения.

В пятницу TechCrunch попросило Microsoft, которая разместила базу данных в своем облаке Azure, связаться с разработчиком. Через несколько часов база данных была окончательно отключена. Точно неизвестно, как долго была доступна база данных. Сингх до сих пор не признал утечку данных.

Делитесь своим мнением в комментариях под этим материалом и в нашем Telegram-чате.

Теги
Лонгриды для вас
Google Фото
Google Фото перестанет бесплатно хранить все ваши фотографии

Совсем скоро Google прекратит раздачу бесплатного пространства в Google Фото для хранения снимков в высоком качестве. В течение последних пяти лет это было ключевой фишкой сервиса и привлекало массу клиентов, которые на всякий случай включали синхронизацию и не переживали за сохранность своих снимков. Кроме фотографий, бесплатно перестанут храниться и документы, которые раньше тоже не попадали под бесплатное ограничение в 15 ГБ. Компания говорит о том, что так она приводит уровень оказываемых ей услуг в соответствие с отраслевыми стандартами. Также компания внесет изменения в политику удаления данных из неактивных аккаунтов. Она спешит уверить нас, что такие изменения не сильно скажутся на нашем удобстве, не некоторые сомнения в этом все равно есть.

Читать далее
Google Camera
Как установить Гугл Камеру почти на любой смартфон

Google Camera - одно из главных программных чудес для Android-устройств. Для смартфонов серии Google Pixel это и вовсе ”Святой Грааль”, которым компания не спешит делиться со всеми. Правда, многие пользователи все равно устанавливали себе GCam и пользовались ей вместо своего штатного приложения для создания фото. Теперь установить этот инструмент можно на любой смартфон без лишних сложностей. Для этого надо только скачать APK и провести с ним ряд несложных манипуляций. В результате вы получите не просто очередное приложение, а мощный инструмент. Даже при относительно низком уровне камеры он позволит сделать снимки высокого качества.

Читать далее
2FA
Что не так с двухфакторной аутентификацией (2FA) на Android

Все знают, что у Android с безопасностью дела обстоят откровенно так себе. Не то чтобы я сам регулярно испытывал заражения, но читать о распространении очередного трояна, жертвами которого стали тысячи пользователей, мне приходится регулярно. Причём на вопрос, как же так получается, у меня есть вполне резонный ответ. Просто пользователи в большинстве своём понятия не имеют, как по внешним признакам отличить безопасное ПО от небезопасного. В результате мы имеем сотни и тысячи заражений. Спасает только двухфакторная аутентификация. Ну, по крайней мере, спасала.

Читать далее
1 комментарий Оставить свой
  1. Sergio Barbery

    Индусский код такой и есть.

Новый комментарий