Ερευνητές ανακάλυψαν ότι σχεδόν 1,5 εκατομμύριο φωτογραφίες από εξειδικευμένες εφαρμογές γνωριμιών – πολλές από τις οποίες είναι σεξουαλικές – αποθηκεύονται στο διαδίκτυο χωρίς προστασία με κωδικό πρόσβασης, αφήνοντάς τες ευάλωτες σε χάκερ και εκβιαστές.
Οποιοσδήποτε είχε τον σύνδεσμο ήταν σε θέση να δει τις ιδιωτικές φωτογραφίες από πέντε πλατφόρμες που αναπτύχθηκαν από την M.A.D Mobile: τις ιστοσελίδες kink BDSM People και Chica, και τις εφαρμογές LGBT Pink, Brish και Translove.
Αυτές οι υπηρεσίες χρησιμοποιούνται από περίπου 800.000 έως 900.000 άτομα.
Η M.A.D Mobile προειδοποιήθηκε για πρώτη φορά για το ελάττωμα ασφαλείας στις 20 Ιανουαρίου, αλλά δεν έλαβε μέτρα μέχρι που το BBC έστειλε email την Παρασκευή. Έκτοτε το διόρθωσαν, αλλά δεν είπαν πώς συνέβη ή γιατί απέτυχαν να προστατεύσουν τις ευαίσθητες εικόνες.
Ο ηθικός χάκερ Aras Nazarovas από το Cybernews ειδοποίησε για πρώτη φορά την εταιρεία για το κενό ασφαλείας αφού βρήκε τη θέση του online αποθηκευτικού χώρου που χρησιμοποιούν οι εφαρμογές αναλύοντας τον κώδικα που τροφοδοτεί τις υπηρεσίες. Σοκαρίστηκε από το γεγονός ότι μπορούσε να έχει πρόσβαση στις μη κρυπτογραφημένες και μη προστατευμένες φωτογραφίες χωρίς κανένα κωδικό πρόσβασης. «Η πρώτη εφαρμογή που ερεύνησα ήταν η BDSM People και η πρώτη εικόνα στο φάκελο ήταν ένας γυμνός άντρας γύρω στα τριάντα», είπε. «Μόλις την είδα, συνειδητοποίησα ότι αυτός ο φάκελος δεν έπρεπε να είναι δημόσιος».
Οι εικόνες δεν περιορίζονταν μόνο σε αυτές από τα προφίλ, είπε – περιλάμβαναν εικόνες που είχαν σταλεί ιδιωτικά σε μηνύματα, ακόμα και κάποιες που είχαν αφαιρεθεί από τους συντονιστές.
Κίνδυνος παραβίασης
Ο Nazarovas δήλωσε ότι η ανακάλυψη μη προστατευμένου ευαίσθητου υλικού συνοδεύεται από σημαντικό κίνδυνο για τους χρήστες των πλατφορμών.
Κακόβουλοι χάκερς θα μπορούσαν να έχουν βρει τις εικόνες και να εκβιάσουν άτομα. Υπάρχει επίσης κίνδυνος για όσους ζουν σε χώρες εχθρικές προς τα ΛΟΑΤ άτομα.
Κανένα από τα περιεχόμενα κειμένου των ιδιωτικών μηνυμάτων δεν βρέθηκε να αποθηκεύεται με αυτόν τον τρόπο και οι εικόνες δεν επισημαίνονται με ονόματα χρηστών ή πραγματικά ονόματα, γεγονός που θα καθιστούσε πιο περίπλοκες τις στοχευμένες επιθέσεις σε χρήστες.
Σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου η M.A.D Mobile δήλωσε ότι είναι ευγνώμων στον ερευνητή για την αποκάλυψη της ευπάθειας στις εφαρμογές ώστε να αποτραπεί η παραβίαση δεδομένων.
Αλλά δεν υπάρχει καμία εγγύηση ότι ο κ. Nazarovas ήταν ο μόνος χάκερ που βρήκε την κρυψώνα εικόνων.
«Εκτιμούμε το έργο τους και έχουμε ήδη λάβει τα απαραίτητα μέτρα για την αντιμετώπιση του προβλήματος», δήλωσε εκπρόσωπος της M.A.D Mobile. «Μια πρόσθετη ενημέρωση για τις εφαρμογές θα κυκλοφορήσει στο App Store τις επόμενες ημέρες». Η εταιρεία δεν απάντησε σε περαιτέρω ερωτήσεις σχετικά με το πού εδρεύει η εταιρεία και γιατί χρειάστηκαν μήνες για να αντιμετωπιστεί το ζήτημα μετά από πολλαπλές προειδοποιήσεις από ερευνητές.
Συνήθως οι ερευνητές ασφαλείας περιμένουν μέχρι να διορθωθεί μια ευπάθεια πριν δημοσιεύσουν μια διαδικτυακή αναφορά, σε περίπτωση που θέσει τους χρήστες σε περαιτέρω κίνδυνο επίθεσης. Όμως ο κ. Nazarovas και η ομάδα του αποφάσισαν να σημάνουν συναγερμό την Πέμπτη, ενώ το ζήτημα ήταν ακόμη ζωντανό, καθώς ανησυχούσαν ότι η εταιρεία δεν έκανε τίποτα για να το διορθώσει. «Είναι πάντα μια δύσκολη απόφαση, αλλά πιστεύουμε ότι το κοινό πρέπει να γνωρίζει για να προστατευτεί», δήλωσε.
Πηγή: BBC
