Ερευνητές ανακάλυψαν σχεδόν 1,5 εκατομμύριο φωτογραφίες από εξειδικευμένες εφαρμογές γνωριμιών που αποθηκεύονταν στο διαδίκτυο χωρίς προστασία με κωδικό πρόσβασης, γεγονός που τις αφήνει ευάλωτες σε χάκερ και εκβιαστές.
Όποιος είχε τον σύνδεσμο, μπορούσε να δει τις ιδιωτικές φωτογραφίες από πέντε πλατφόρμες με εφαρμογές γνωριμιών που αναπτύχθηκαν από το M.A.D Mobile: kink sites BDSM People και Chica και τις LGBT εφαρμογές Pink, Brish και Translove.
Αυτές οι υπηρεσίες χρησιμοποιούνται από περίπου 800.000 έως 900.000 άτομα.
Η M.A.D Mobile ειδοποιήθηκε για πρώτη φορά για το ελάττωμα ασφαλείας στις 20 Ιανουαρίου, αλλά δεν είχε λάβει μέτρα προς διόρθωσή του, τουλάχιστον μέχρι και την Παρασκευή, 28 Μαρτίου. Έκτοτε, αναφέρεται πως το σφάλμα έχει διορθωθεί, αλλά χωρίς λεπτομέρειες του πώς συνέβη αυτό ή γιατί δεν κατάφεραν να προστατεύσουν τις ευαίσθητες εικόνες μέχρι σήμερα, όπως επισημαίνει το BBC.
Ο χάκερ Aras Nazarovas από το Cybernews ειδοποίησε αρχικά την εταιρεία για το κενό ασφαλείας αφού βρήκε τη θέση του διαδικτυακού χώρου αποθήκευσης που χρησιμοποιούν οι εφαρμογές, αναλύοντας τον κώδικα που τροφοδοτεί τις υπηρεσίες. Δήλωσε σοκαρισμένος που μπορούσε να έχει πρόσβαση στις μη κρυπτογραφημένες και απροστάτευτες φωτογραφίες, χωρίς κωδικό πρόσβασης.
«Η πρώτη εφαρμογή που ερεύνησα ήταν το BDSM People και η πρώτη εικόνα στον φάκελο ήταν ένας γυμνός άνδρας γύρω στα τριάντα», είπε. «Μόλις το είδα κατάλαβα ότι αυτός ο φάκελος δεν έπρεπε να είναι δημόσιος».
Οι εικόνες δεν περιορίζονταν σε εκείνες από τα προφίλ των χρηστών, είπε – καθώς περιλάμβαναν φωτογραφίες που είχαν σταλεί ιδιωτικά σε μηνύματα, ακόμη και κάποιες που είχαν αφαιρεθεί από τους συντονιστές.
Σημαντικός ο κίνδυνος hacking για τους χρήστες
Ο Nazarovas είπε ότι η ανακάλυψη απροστάτευτου ευαίσθητου υλικού ενέχει σημαντικό κίνδυνο για τους χρήστες των πλατφορμών. Κακόβουλοι χάκερ θα μπορούσαν να είχαν βρει τις εικόνες και να εκβιάσουν άτομα. Υπάρχει επίσης κίνδυνος για όσους ζουν σε χώρες εχθρικές προς τα LGBT άτομα.
Κανένα από το περιεχόμενο κειμένου των προσωπικών μηνυμάτων δεν βρέθηκε να αποθηκεύεται με αυτόν τον τρόπο και οι εικόνες δεν έχουν ετικέτες με ονόματα χρηστών ή αληθινά ονόματα, γεγονός που θα καθιστούσε ελαφρώς πιο περίπλοκη τη δημιουργία στοχευμένων επιθέσεων σε χρήστες.
Σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου η M.A.D Mobile είπε ότι ήταν ευγνώμων στον ερευνητή που αποκάλυψε την ευπάθεια στις εφαρμογές για να αποτρέψει την παραβίαση δεδομένων. Αλλά δεν υπάρχει καμία εγγύηση ότι ο Nazarovas ήταν ο μόνος χάκερ που βρήκε το σφάλμα.
«Εκτιμούμε το έργο του και έχουμε ήδη λάβει τα απαραίτητα μέτρα για την αντιμετώπιση του ζητήματος», δήλωσε εκπρόσωπος της M.A.D Mobile. «Μια πρόσθετη ενημέρωση για τις εφαρμογές θα κυκλοφορήσει στο App Store τις επόμενες ημέρες». Η εταιρεία δεν απάντησε σε περαιτέρω ερωτήσεις σχετικά με το πού εδρεύει και γιατί χρειάστηκαν μήνες για να αντιμετωπιστεί το ζήτημα μετά από πολλαπλές προειδοποιήσεις από ερευνητές, όπως αναφέρει το BBC.
Συνήθως οι ερευνητές ασφαλείας περιμένουν μέχρι να διορθωθεί μια ευπάθεια πριν δημοσιεύσουν μια ηλεκτρονική αναφορά, σε περίπτωση που θέτει τους χρήστες σε περαιτέρω κίνδυνο επίθεσης. Όμως ο Nazarovas και η ομάδα του αποφάσισαν να κηρύξουν συναγερμό την Πέμπτη όσο το ζήτημα ήταν ακόμα σε ισχύ, καθώς ανησυχούσαν ότι η εταιρεία δεν έκανε τίποτα για να το διορθώσει.
«Είναι πάντα μια δύσκολη απόφαση, αλλά πιστεύουμε ότι το κοινό πρέπει να ξέρει να προστατεύει τον εαυτό του», είπε.
Το 2015 κακόβουλοι χάκερ έκλεψαν μεγάλο όγκο δεδομένων πελατών σχετικά με χρήστες της Ashley Madison, ενός ιστότοπου γνωριμιών για παντρεμένους που επιθυμούν να απατήσουν τη σύζυγό τους.
Με πληροφορίες από BBC
