Max Home IndustryИсследователи обнаружили около 1,5 млн фотографий из специализированных приложений для знакомств, многие из которых откровенные, которые хранятся в сети без защиты паролем, что делает их уязвимыми для хакеров и вымогателей.
Любой, у кого была ссылка, мог просматривать личные фотографии с пяти платформ, разработанных M.A.D Mobile: сайты для знакомств BDSM People и Chica, а также приложения для ЛГБТ Pink, Brish и Translove.
По оценкам, этими сервисами пользуются от 800 000 до 900 000 человек.
M.A.D Mobile впервые получили предупреждение об уязвимости безопасности 20 января, но не предприняли никаких мер, пока BBC не отправила им электронное письмо в пятницу.
С тех пор они исправили ошибку, но не сообщили, как это произошло или почему они не смогли защитить конфиденциальные изображения.
Этичный хакер Арас Назаровас из Cybernews первым сообщил фирме о дыре в безопасности после того, как обнаружил местоположение онлайн-хранилища, используемого приложениями, проанализировав код, который обеспечивает работу сервисов.
Он был шокирован тем, что мог получить доступ к незашифрованным и незащищенным фотографиям без какого-либо пароля.
«Первым приложением, которое я исследовал, было BDSM People, и первым изображением в папке был голый мужчина лет тридцати», — сказал он.
«Как только я его увидел, я понял, что эта папка не должна быть общедоступной».
Он сказал, что изображения не ограничивались изображениями из профилей — они включали фотографии, которые были отправлены в личных сообщениях, и даже некоторые из них были удалены модераторами.
Риск взлома
Назаровас сказал, что обнаружение незащищенных конфиденциальных материалов несет в себе значительный риск для пользователей платформ.
Злонамеренные хакеры могли найти изображения и вымогать деньги у отдельных лиц.
Также существует риск для тех, кто живет в странах, враждебно настроенных к представителям ЛГБТ.
Не было обнаружено, что текстовое содержимое личных сообщений хранится таким образом, а изображения не помечены именами пользователей или настоящими именами, что усложнило бы создание целевых атак на пользователей.
В электронном письме M.A.D Mobile заявила, что благодарна исследователю за обнаружение уязвимости в приложениях, что позволило предотвратить утечку данных.
Но нет никаких гарантий, что Назаровас был единственным хакером, который нашел тайник с изображениями.
«Мы ценим их работу и уже предприняли необходимые шаги для решения проблемы», — сказал представитель M.A.D Mobile. «В ближайшие дни в App Store будет выпущено дополнительное обновление для приложений».
Компания не ответила на дальнейшие вопросы о том, где находится компания и почему потребовались месяцы для решения проблемы после многочисленных предупреждений от исследователей.
Обычно исследователи безопасности ждут, пока уязвимость будет устранена, прежде чем публиковать онлайн-отчет, на случай, если это подвергнет пользователей дальнейшему риску атаки.
Но Назаровас и его команда решили поднять тревогу в четверг, пока проблема была еще актуальна, поскольку они были обеспокоены тем, что компания ничего не делает для ее устранения.
«Это всегда трудное решение, но мы считаем, что общественность должна знать, чтобы защитить себя», — сказал он.
В 2015 году злонамеренные хакеры украли большой объем данных о пользователях Ashley Madison, сайта знакомств для женатых людей, желающих изменить своему супругу.