Mai multe aplicații de dating au expus online 1,5 milioane de imagini private ale utilizatorilor

Cercetătorii au descoperit aproape 1,5 milioane de imagini de pe aplicații de dating specializate – multe dintre ele explicite – stocate online fără protecție prin parolă, făcându-le vulnerabile la hackeri și șantajiști, transmite BBC.

Oricine avea linkul putea vizualiza fotografiile private de pe cinci platforme dezvoltate de M.A.D Mobile: site-urile BDSM People și Chica, dedicate comunității kink, și aplicațiile LGBT Pink, Brish și Translove.

Aceste servicii sunt utilizate de aproximativ 800.000 – 900.000 de persoane.

M.A.D Mobile a fost avertizată pentru prima dată despre această vulnerabilitate pe 20 ianuarie, dar nu a luat măsuri până când BBC a trimis un e-mail vineri.

Compania a remediat problema între timp, dar nu a explicat cum s-a produs această breșă sau de ce nu a protejat imaginile sensibile.

Hackerul etic Aras Nazarovas de la Cybernews a fost primul care a alertat compania despre breșa de securitate, după ce a descoperit locația spațiului de stocare online utilizat de aplicații prin analiza codului care le alimentează.

El a fost șocat să constate că putea accesa fotografiile necriptate și neprotejate fără nicio parolă.

„Prima aplicație pe care am investigat-o a fost BDSM People, iar prima imagine din folder era a unui bărbat dezbrăcat de treizeci de ani”, a spus Nazarovas. „De îndată ce am văzut-o, mi-am dat seama că acest folder nu ar fi trebuit să fie public.”

El a precizat că imaginile nu erau limitate la fotografiile de profil – includeau și poze trimise privat în mesaje și chiar unele eliminate de moderatori.

Risc de hacking

Nazarovas a avertizat că descoperirea acestui conținut sensibil neprotejat prezintă un risc semnificativ pentru utilizatorii platformelor. Hackerii rău intenționați ar fi putut găsi imaginile și șantaja indivizi.

De asemenea, există un risc pentru persoanele care locuiesc în țări ostile comunității LGBT.

Niciun conținut text din mesajele private nu a fost stocat în acest mod, iar imaginile nu erau etichetate cu numele de utilizator sau numele reale, ceea ce ar fi făcut atacurile direcționate mai dificil de realizat.

Într-un e-mail, M.A.D Mobile a declarat că este recunoscătoare cercetătorului pentru identificarea vulnerabilității, prevenind astfel o breșă de date.

Totuși, nu există nicio garanție că Nazarovas a fost singurul hacker care a descoperit aceste imagini.

„Apreciem munca lor și am luat deja măsurile necesare pentru a remedia problema,” a declarat un purtător de cuvânt al M.A.D Mobile. „Un update suplimentar pentru aplicații va fi lansat în curând pe App Store.”

Compania nu a răspuns la întrebări suplimentare despre locația sa și despre motivele pentru care a durat luni întregi până să rezolve problema, în ciuda multiplelor avertismente ale cercetătorilor.

De obicei, experții în securitate așteaptă ca o vulnerabilitate să fie remediată înainte de a publica un raport online, pentru a evita expunerea utilizatorilor la riscuri suplimentare.

Însă Nazarovas și echipa sa au decis să tragă un semnal de alarmă joi, în timp ce problema era încă activă, fiind îngrijorați că firma nu făcea nimic pentru a o rezolva.

„Este întotdeauna o decizie dificilă, dar credem că publicul trebuie să știe pentru a se proteja,” a spus el.

În 2015, hackeri rău intenționați au furat o cantitate mare de date despre utilizatorii Ashley Madison, un site de dating destinat persoanelor căsătorite care doresc să își înșele partenerii.