Семейное приложение выдавало местоположение пользователей

Популярное приложение для отслеживания местоположения членов своей семьи в течение нескольких недель сообщало о местонахождении более 238 000 пользователей в режиме реального времени после того, как разработчик оставил сервер открытым без пароля.

Приложение Family Locator, созданное австралийской компанией React Apps, позволяет членам семьи отслеживать друг друга в режиме реального времени, например, супругам или родителям, желающим узнать, где находятся их дети. Оно также позволяет пользователям настраивать оповещения с геозоной для отправки уведомления, когда член семьи входит в эту зону или, наоборот, покидает ее, например, школу или работу.

Но внутренняя база данных MongoDB осталась незащищенной и доступной любому, кто знал, где искать. Саньям Джейн (Sanyam Jain), исследователь в области безопасности и член GDI Foundation, нашел доступную всем базу данных и сообщил об этом изданию TechCrunch.

После изучения базы данных издание выяснило, что каждая учетная запись в ней содержала имя пользователя, адрес электронной почты, фотографию профиля и его незашифрованный пароль. Помимо этого, в каждой учетке содержалась информация о местоположении других членов семьи в реальном времени с точностью до нескольких метров. Любой пользователь, у которого была настроена учетная запись в этом приложении, мог сохранять координаты других, а также мест, которые были обозначены пользователями, как “Дом” или “Работа”. Все эти данные вообще никак не были зашифрованы.

Издание TechCrunch проверило содержимое базы данных, установив приложение и зарегистрировавшись в нем, используя фиктивный адрес электронной почты. Через несколько секунд местоположение нового пользователя в реальном времени появилось в виде точных координат в базе данных. Затем представители издания связались с одним из пользователей приложения и он, хотя и был сильно удивлен, подтвердил, что вся информация о нем, которая есть в базе данных точна, и даже его координаты в данный момент. Также этот пользователь сказал, что член семьи, чьи координаты тоже есть в базе данных, является его ребенком, а координаты указывают на школу, где он сейчас находится. Это не единственный пользователь, с которым связалось TechCrunch и убедилось, что все данные в базе совпадают с реальными.

TechCrunch целую неделю пытались связаться с разработчиком React Apps, но безрезультатно. На сайте компании отсутствует какая-либо контактная информация, равно как и политика конфиденциальности. У записи WHOIS, которая содержит информацию о владельце сайта, была активирована конфиденциальность, маскирующая адрес электронной почты владельца. TechCrunch даже купили записи компании у Австралийской комиссии по ценным бумагам и инвестициям только для того, чтобы узнать имя владельца компании – Сандип Манн Сингх (Sandip Mann Singh), но без контактной информации. Затем отправили несколько сообщений через форму обратной связи компании, но не получили подтверждения.

В пятницу TechCrunch попросило Microsoft, которая разместила базу данных в своем облаке Azure, связаться с разработчиком. Через несколько часов база данных была окончательно отключена. Точно неизвестно, как долго была доступна база данных. Сингх до сих пор не признал утечку данных.

Делитесь своим мнением в комментариях под этим материалом и в нашем Telegram-чате.

Теги
Лонгриды для вас
чемодан
Телефон пишет, что недостаточно места, но оно есть. Вот решение проблемы.

Часто не самые опытные пользователи Android могут столкнуться с некоторыми проблемами, решение которых им не по силам. Часто это бывают какие-то мелочи, решение которых требует буквально пары тапов по экрану, но при этом не лежит на поверхности. Одной их таких проблем является нехватка свободного места. Бывает такое, что человек пользуется телефоном с большой памятью, но в какой-то момент при попытке скачать не самое крупное приложение, он сталкивается с неприятным предупреждением. Оно гласит, что в памяти нет места и приложение не может быть скачано. Паника и разочарование сменяют друг друга, а на самом деле надо всего лишь сделать несколько простых действий.

Читать далее
iCloud почта
Как пользоваться Почтой iCloud на Android

Смартфонами под управлением Android пользуются разные люди, в том числе те, у кого это не единственные устройства. Несмотря на кажущуюся неправдоподобность такого сочетания, у некоторых владельцев iPhone в арсенале всегда имеется аппарат на базе ОС от Google. Им приходится сложнее всего, потому что они не могут сделать выбор в пользу одной экосистемы и пользоваться только ей, а вынуждены совмещать. Но если с использованием собственных приложений Google на iOS вообще нет никаких проблем, то с доступом к сервисам Apple на Android дела обстоят откровенно так себе. Впрочем, выход есть всегда.

Читать далее
YouTube
Как слушать YouTube с заблокированным экраном без подписки

YouTube смотрят все! Правда, ”смотрят” это довольно широкое понятие и, как показывает статистика, более 50 процентов контента потребляется в аудиоформате. Проще говоря, его слушают. На компьютере с этим нет никаких проблем - включил, сделал звук погромче и можно переходить на другую вкладку в браузере. Но на смартфоне с этим намного сложнее. В итоге надо или постоянно держать экран включенным, или платить за подписку. Первый вариант приводит к перегреву устройства, быстрому расходу аккумулятора и риску случайного нажатия на паузу или перемотку. Во втором случае все проще, но надо платить, а не все этого хотят. В этой статье расскажу о самых простых и совершенно законных способах слушать YouTube с заблокированным экраном смартфона.

Читать далее
1 комментарий Оставить свой
  1. Sergio Barbery

    Индусский код такой и есть.

Новый комментарий