ТОПТЕМЫ:

Семейное приложение показывало местоположение пользователей всем желающим

Информатор Украина
Информатор Украина Журналист
Семейное приложение показывало местоположение пользователей всем желающим
Большинство пользователей надеются, что все ресурсы и продукты, которые они используют в сети, будут хранить их личные данные в тайне. Поэтому многие компании-разработчики ПО, в первую очередь, заботятся о конфиденциальности своих приложений. Многие, но не все. Популярное приложение Family Locator, созданное австралийской компанией React Apps для отслеживания местоположения членов своей семьи, в течение нескольких недель сообщало о местонахождении более 238 000 пользователей в режиме реального времени после того, как разработчик оставил сервер открытым без пароля. Об этом сообщает Информатор Tech, ссылаясь на TechCrunch. Приложение активно использовалось родителями, чтобы знать, где находятся их дети. Оно также позволяет пользователям настраивать оповещения с геозоной для отправки уведомления, когда член семьи входит в эту зону или, наоборот, покидает ее, например, школу или работу. Приложение передавало данные о местоположении в режиме реального времени Приложение передавало данные о местоположении в режиме реального времени Но внутренняя база данных MongoDB осталась незащищенной и доступной любому желающему. Обнаружил ее  исследователь в области безопасности и член GDI Foundation Саньям Джейн. Оказалось, что каждая учетная запись в ней содержала имя пользователя, адрес электронной почты, фотографию профиля и его незашифрованный пароль. Помимо этого, в каждом аккаунте содержалась информация о местоположении других членов семьи в реальном времени с точностью до нескольких метров. Любой пользователь, у которого была настроена учетная запись в этом приложении, мог сохранять координаты других членов семьи, а также мест, которые были обозначены пользователями, как “Дом” или “Работа”. Все эти данные вообще никак не были зашифрованы. Журналисты TechCrunch проверили содержимое базы данных, установив приложение и зарегистрировавшись в нем, используя фиктивный адрес электронной почты. Через несколько секунд местоположение нового пользователя в реальном времени появилось в виде точных координат в базе данных. После чего удалось связаться с одним из пользователей приложения и он, хотя и был сильно удивлен, подтвердил, что вся информация о нем, которая есть в базе данных точна, и даже его координаты в данный момент. Также этот пользователь сказал, что член семьи, чьи координаты тоже есть в базе данных, является его ребенком, а координаты указывают на школу, где он сейчас находится.

Реакция React Apps

Целую неделю React Apps не выходила на связь. На сайте компании отсутствует какая-либо контактная информация, равно как и политика конфиденциальности. У записи WHOIS, которая содержит информацию о владельце сайта, была активирована конфиденциальность, маскирующая адрес электронной почты владельца. Представители TechCrunch даже купили записи компании у Австралийской комиссии по ценным бумагам и инвестициям только для того, чтобы узнать имя владельца компании – Сандип Манн Сингх, но без контактной информации. Только после обращения в Microsoft, которая разместила базу данных в своем облаке Azure, удалось совладать с уязвимой базой данных. Через несколько часов база ее окончательно отключила. Точно неизвестно, как долго была доступна база данных. Сингх до сих пор не признал утечку данных. Раннее мы сообщали о том, что в сети обнаружили незащищенные базы данных пользователей интернет-магазина GearBest. Обнаруженные базы данных состояли из нескольких частей. Также обнаружена база данных с более чем 800 миллионов адресов электронной почты и других записей.

Ярослав Жахалов

Главная Актуально Україна на часі Youtube