Утечка персональных данных из приложений для секс-меньшинств

Исследователи выявили утечку персональных пользователей приложений для ЛГБТ*. В ходе утечки персональных данных раскрыты сведения сотен тысяч пользователей. В частности, скомпрометированы откровенные изображения. Эта утечка персональных данных подвергает рискам мошенничества и шантажа многих пользователей.

Исследователи безопасности обнаружили в открытом доступе серверы, на которых хранились данные пользователей пяти приложений — BDSM People, Chica, Pink, Brish и Translove. Эти приложения разработаны компанией M.A.D Mobile. Все они посвящены весьма специфическому направлению — знакомствам представителей ЛГБТ*, людей с сексуальными отклонениями, любителей нестандартных сексуальных практик и отношений.

По оценкам исследователей, в результате этого нарушения от 800 тыс. до 900 тыс. пользователей подвергались рискам мошенничества и вымогательства. На открытом сервере в облачном хранилище насчитывалось в общей сложности 1,5 млн личных фотографий, включая откровенные.

Исследователь Cybernews Арас Назаровас (Aras Nazarovas) установил утечку данных с сервера изображений, проводя анализ кода, который управляет приложением BDSM People.

«На первом изображении в папке, которое я открыл, был голый мужчина лет тридцати. Как только я его увидел, я понял, что эта папка не должна быть общедоступной», — рассказал Назаровас журналистам.

По словам исследователя, всего на сервере он обнаружил фотографии объемом сотни гигабайт. Это были как изображения профилей, так и графические файлы, которые были отправлены в личных сообщениях, изображения, удаленные модераторами, фотографии из публичных постов, фотографии из комментариев.

Еще 20 января разработчики из M.A.D Mobile были оповещены об открытом сервере. Исследователи более двух месяцев провели в ожидании решения проблемы, но, видя, что хранилище остается незащищенным, после 28 марта опубликовали отчет об утечке данных.

К настоящему времени на скомпрометированный сервер установлен пароль. Нельзя сказать, как долго данные пользователей пяти приложений оставались открытыми и получил ли к этой информации доступ кто-нибудь помимо Назароваса.

Представитель M.A.D Mobile поблагодарил исследователей Cybernews за работу и подтвердил, что его компания предприняла необходимые шаги для решения проблемы. В ближайшие дни компания пообещала выложить в App Store необходимые обновления для своих приложений.

Приложения и сайты знакомств являются весьма привлекательными целями для киберпреступности из-за хранящейся в них конфиденциальной личной информации, порой довольно деликатного характера. В случае атаки с целью вымогательства злоумышленники могут не только требовать выкуп у компании-разработчика, но и угрожать людям раскрытием их данных, если они не заплатят определенную денежную сумму.

*Деятельность международного общественного движения ЛГБТ признана экстремистской и запрещена в России. Также по решению российского суда запрещена пропаганда ЛГБТ.

Источник: Techradar