Утечка данных миллионов пользователей анонимного видеочата

Крупную утечку данных из-за двойной ошибки допустило приложение FTF Live. В результате утечки данных видеосеансов пострадали более 3 млн пользователей чата для анонимного общения.

FTF Live — видеочат, предлагающий пользователю общение в режиме тет-а-тет со случайным собеседником. Этот видеочат доступен как через браузер, так и в форме мобильного приложения. Платформа заявляет о конфиденциальности и безопасности как основных принципах своей работы. Поскольку FTF Live часто используется для интимного и откровенного общения с незнакомцами, выявленные изъяны в обеспечении безопасности привели к проблеме критичного характера.

Утечку данных из видеосервиса FTF Live исследователи безопасности из группы Cybernews выявили, когда обнаружили открытый доступ к панели визуализации Kibana, которую использовало приложение. В результате инцидента фактически была раскрыта информация до 3,47 млн зарегистрированных пользователей и 22 млн сеансов видеосвязи с их участием.

Помимо имен пользователей и адресов электронной почты, были скомпрометированы различные метаданные пользователей, включая информацию об используемых устройствах, сведения о поле, платежную информацию и данные, характерные для геолокации, такие как IP-адреса, страна и язык.

Как выяснили исследователи, данные из чата FTF Live утекали не только из-за незащищенной панели Kibana, но также через уязвимость в программном инструменте Dozzle, который служит для мониторинга в браузере журналов Docker-контейнеров (изолированная среда для запуска приложения). Эта уязвимость не только раскрывала функционирование всего сервиса, но и предоставляла пароли в открытом виде, токены сессий и даже внутренние запросы API.

Исследователи отметили, что сочетание общедоступных экземпляров Kibana и Dozzle создает серьезный риск для безопасности. Специалисты Cybernews пытались связаться с компанией-разработчиком платформы FTF Live, но безуспешно. Они также решили разобраться в сложной структуре собственности в компании, которая, по их словам, вызывает вопросы о прозрачности всего проекта. В политике конфиденциальности на сайте владельцем сервиса указана кипрская компания Cooy Ads Ltd, хотя, судя по всему, управлением данных, контролем службы поддержки клиентов и брендингом занимается Pixover.

Примечательно, что через некоторое время после выявленной утечки данных Android-приложение FTF Live было удалено, а затем опубликовано заново под названием «Burhan LTD».

Отсутствие ответа со стороны компании обеспокоило исследователей, учитывая серьезный характер скомпрометированной информации, огромное количество утекших записей персональных данных и тот факт, что продолжительность публичного доступа еще не установлена.

«Утечка данных превращает то, что многие считают анонимным и одноразовым взаимодействием, в легко отслеживаемый информационный след», — отметили исследователи, подчеркнув, что проблемы безопасности для пользователей включают в себя взлом учетных записей, целевые мошеннические схемы или даже преследование со стороны мотивированных лиц. 
Хотя в ходе инцидента, по всей видимости, не были раскрыты никакие видеозаписи разговоров, допущенная утечка данных позволяет отслеживать, идентифицировать и контролировать пользователей со стороны третьих лиц. Помимо серьезности этой утечки данных, исследователи с тревогой говорят о бездействии со стороны владельцев веб-сайта, а также указывают на широкую проблему безопасности, связанную с коммуникационными платформами, которые заявлены как «анонимные».

Источник: TechRadar