Семейное приложение выдавало местоположение пользователей

Семейное приложение выдавало местоположение пользователей

Популярное приложение для отслеживания местоположения членов своей семьи в течение нескольких недель сообщало о местонахождении более 238 000 пользователей в режиме реального времени после того, будто разработчик оставил сервер открытым без пароля.

Приложение Family Locator, созданное австралийской компанией React Apps, позволяет членам семьи отслеживать товарищ друга в режиме реального времени, так, супругам или родителям, желающим разузнать, где находятся их ребята. Оно также позволяет пользователям настраивать оповещения с геозоной для отправки уведомления, когда член семьи входит в эту зону или, навыворот, покидает ее, например, школу или работу.

Однако внутренняя база данных MongoDB осталась незащищенной и доступной любому, кто знал, где разыскивать. Саньям Джейн (Sanyam Jain), исследователь в области безопасности и член GDI Foundation, нашел доступную всем базу данных и сообщил об этом изданию TechCrunch.

После изучения базы данных издание выяснило, что каждая учетная запись в ней содержала имя пользователя, адрес электронной почты, фотографию профиля и его незашифрованный пароль. Помимо этого, в каждой учетке содержалась информация о местоположении других членов семьи в реальном времени с точностью до нескольких метров. Любой пользователь, у которого была настроена учетная запись в этом приложении, мог хранить координаты других, а также мест, которые были обозначены пользователями, будто “Дом” или “Работа”. Все эти данные вообще никак не были зашифрованы.

Издание TechCrunch проверило содержимое базы данных, установив приложение и зарегистрировавшись в нем, используя фиктивный адрес электронной почты. Чрез несколько секунд местоположение нового пользователя в реальном времени появилось в виде точных координат в базе данных. Затем представители издания связались с одним из пользователей приложения и он, хотя и был сильно удивлен, подтвердил, что вся информация о нем, которая кушать в базе данных точна, и даже его координаты в этот момент. Также этот пользователь сказал, что член семьи, чьи координаты тоже кушать в базе данных, является его ребенком, а координаты указывают на школу, где он сейчас находится. Это не один-единственный пользователь, с которым связалось TechCrunch и убедилось, что все данные в базе совпадают с реальными.

TechCrunch целую неделю пытались снестись с разработчиком React Apps, однако безрезультатно. На сайте компании отсутствует какая-либо контактная информация, равно будто и политика конфиденциальности. У записи WHOIS, которая содержит информацию о владельце сайта, была активирована конфиденциальность, маскирующая адрес электронной почты владельца. TechCrunch даже купили записи компании у Австралийской комиссии по ценным бумагам и инвестициям лишь для того, чтобы разузнать имя владельца компании – Сандип Манн Сингх (Sandip Mann Singh), однако без контактной информации. Затем отправили несколько сообщений чрез форму обратной связи компании, однако не получили подтверждения.

В пятницу TechCrunch попросило Microsoft, которая разместила базу данных в своем облаке Azure, снестись с разработчиком. Через несколько часов база данных была окончательно отключена. Точно невесть, как долго была доступна база данных. Сингх до сих пор не признал утечку данных.

Делитесь своим мнением в комментариях под этим материалом и в нашем Telegram-чате.

AndroidInsider.ru

Mobi

Обсуждение закрыто.

Fatal error: Uncaught exception 'wfWAFStorageFileException' with message 'Unable to verify temporary file contents for atomic writing.' in /home/gceurost/transportpro.ru/www/wp-content/plugins/wordfence/vendor/wordfence/wf-waf/src/lib/storage/file.php:52 Stack trace: #0 /home/gceurost/transportpro.ru/www/wp-content/plugins/wordfence/vendor/wordfence/wf-waf/src/lib/storage/file.php(659): wfWAFStorageFile::atomicFilePutContents('/home/gceurost/...', '<?php exit('Acc...') #1 [internal function]: wfWAFStorageFile->saveConfig('livewaf') #2 {main} thrown in /home/gceurost/transportpro.ru/www/wp-content/plugins/wordfence/vendor/wordfence/wf-waf/src/lib/storage/file.php on line 52