Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Приложение раскрыло личные данные миллионов подписчиков
Go SMS Pro, одно из самых популярных Android-приложений для обмена сообщениями, скомпрометировало фотографии и другие данные своих подписчиков. Об этом пишет TechCrunch.
Исследователи безопасности из компании Trustwave еще в августе обнаружили уязвимость в приложении Go SMS Pro. Отправив уведомление компании-разработчику (находится в китайском Гуаньчжоу), специалисты выдержали стандартный в таких случаях 90-дневный срок, который дается на устранение утечки. Однако по истечении этого времени Trustwave не получила никакой обратной связи. В итоге исследователи решили поделиться информацией об инциденте с журналистами.
Уязвимость описывается следующим образом. Когда подписчик отправляет фотографию, видео или другой файл тому, у кого не установлено приложение, Go SMS Pro загружает эти файлы на свой сервер, чтобы они были доступны только по ссылке. Но исследователи обнаружили, что URL-адреса формировались последовательно, то есть любой, кто заметил эту проблему, мог без особого труда генерировать списки уже полученных адресов и получать доступ к данным.
Журналисты TechCrunch убедились в правильности выводов исследователей. Просмотрев всего несколько десятков ссылок, репортеры обнаружили такие конфиденциальные данные, как номер телефона, скриншот с данными о банковском переводе, подтверждение заказа с домашним адресом, досье арестов из полиции, а также откровенные фотографии.
Карл Стиглер (Carl Stigler), старший менеджер по исследованиям безопасности в Trustwave, отметил, что, хотя уязвимость не позволяет найти данные конкретного человека, любой файл, отправленный через Go SMS Pro, потенциально может быть просмотрен третьими лицами. По словам эксперта, с помощью специальных скриптов злоумышленники способны настроить копирование всех файлов, хранящихся в облачной базе приложения.
Журналисты тоже попытались связаться с компанией-разработчиком приложения, однако первое письмо не было доставлено по причине переполненного почтового ящика у адресата. Вторая попытка увенчалась успехом – письмо было прочитано. Однако, ответа в Techcrunch так и не дождались.
Go SMS Pro в магазине Google Play было скачано более 100 млн раз.