Семейное приложение выдавало местоположение пользователей

Популярное приложение для отслеживания местоположения членов своей семьи в течение нескольких недель сообщало о местонахождении более 238 000 пользователей в режиме реального времени после того, как разработчик оставил сервер открытым без пароля.

Приложение Family Locator, созданное австралийской компанией React Apps, позволяет членам семьи отслеживать друг друга в режиме реального времени, например, супругам или родителям, желающим узнать, где находятся их дети. Оно также позволяет пользователям настраивать оповещения с геозоной для отправки уведомления, когда член семьи входит в эту зону или, наоборот, покидает ее, например, школу или работу.

Но внутренняя база данных MongoDB осталась незащищенной и доступной любому, кто знал, где искать. Саньям Джейн (Sanyam Jain), исследователь в области безопасности и член GDI Foundation, нашел доступную всем базу данных и сообщил об этом изданию TechCrunch.

После изучения базы данных издание выяснило, что каждая учетная запись в ней содержала имя пользователя, адрес электронной почты, фотографию профиля и его незашифрованный пароль. Помимо этого, в каждой учетке содержалась информация о местоположении других членов семьи в реальном времени с точностью до нескольких метров. Любой пользователь, у которого была настроена учетная запись в этом приложении, мог сохранять координаты других, а также мест, которые были обозначены пользователями, как “Дом” или “Работа”. Все эти данные вообще никак не были зашифрованы.

Издание TechCrunch проверило содержимое базы данных, установив приложение и зарегистрировавшись в нем, используя фиктивный адрес электронной почты. Через несколько секунд местоположение нового пользователя в реальном времени появилось в виде точных координат в базе данных. Затем представители издания связались с одним из пользователей приложения и он, хотя и был сильно удивлен, подтвердил, что вся информация о нем, которая есть в базе данных точна, и даже его координаты в данный момент. Также этот пользователь сказал, что член семьи, чьи координаты тоже есть в базе данных, является его ребенком, а координаты указывают на школу, где он сейчас находится. Это не единственный пользователь, с которым связалось TechCrunch и убедилось, что все данные в базе совпадают с реальными.

TechCrunch целую неделю пытались связаться с разработчиком React Apps, но безрезультатно. На сайте компании отсутствует какая-либо контактная информация, равно как и политика конфиденциальности. У записи WHOIS, которая содержит информацию о владельце сайта, была активирована конфиденциальность, маскирующая адрес электронной почты владельца. TechCrunch даже купили записи компании у Австралийской комиссии по ценным бумагам и инвестициям только для того, чтобы узнать имя владельца компании – Сандип Манн Сингх (Sandip Mann Singh), но без контактной информации. Затем отправили несколько сообщений через форму обратной связи компании, но не получили подтверждения.

В пятницу TechCrunch попросило Microsoft, которая разместила базу данных в своем облаке Azure, связаться с разработчиком. Через несколько часов база данных была окончательно отключена. Точно неизвестно, как долго была доступна база данных. Сингх до сих пор не признал утечку данных.

Делитесь своим мнением в комментариях под этим материалом и в нашем Telegram-чате.

Теги
Лонгриды для вас
Android 13
Функции и возможности Android 13, которые я жду

Несмотря на то, что Android 12 толком даже не успела появится на смартфонах, мы уже получили Android 13 в формате предварительной версии для разработчиков. Поэтому, можно считать, что она пока и вовсе не вышла. В прошлые годы такие версии Android выпускались чуть позже, но в этом затягивать не стали. Сейчас, даже несмотря на то, что Android 12L все еще находится в разработке, пришло время перейти в режим ожидания Android 13 и ее новых функций. Пока нельзя точно сказать, какие именно это будут функции, но это именно та операционная система, под управлением которой будут работать одни из лучших смартфонов 2023 года. Вот, что я жду от нее, и, думаю, вы со мной согласитесь.

Читать далее
Как убрать геолокацию с фото на Андроиде

Камера в смартфонах стала, вероятно, важнейший модулем помимо процессора. Чем новее смартфон, тем больше деталей он фиксирует, а система при этом способна фиксировать местоположение, где была создана эта фотография. Функция вполне удобная: можете открыть карту и посмотреть, в каких местах вы делали фотографии, только это не всегда безопасно. В случае, если телефон будет утерян, мошенники могут воспользоваться геометкой и наведаться в гости на вашу дачу. В конце концов, это не так безопасно, если не хотите опростоволоситься перед кем-нибудь и выдать секрет. Сегодня расскажем, как убрать геолокацию с фотографии на Android или отключить эту функцию насовсем.

Читать далее
Почему от смартфонов одни проблемы

Смартфон всегда являлся отличным способом потратить деньги: такая покупка порадует кого угодно и будет отличным подарком. Несмотря на то, что смартфоны не отличаются друг от друга, на рынке можно найти самые разные устройства, самыми запоминающимися из которых будут игровые (из-за навороченных характеристик) и противоударные (из-за защитных свойств). Но ни одно устройство не лишено проблем, а с годами их становится только больше. Одни копятся из года в год, а другие появляются из-за халатности производителей. Идеального смартфона нет и не будет, просто смиритесь с этим фактом: рассказываем, почему владеть абсолютно любым смартфоном проблематично и этого никогда не изменить.

Читать далее
1 комментарий
  1. Sergio Barbery

    Индусский код такой и есть.

Новый комментарий