Uzyskano dostęp do zdjęć i lokalizacji użytkowników – aplikacja do umawiania się na grupowy seks zaliczyła wpadkę

News/Bezpieczeństwo 09.08.2019
Uzyskano dostęp do zdjęć i lokalizacji użytkowników – aplikacja do umawiania się na grupowy seks zaliczyła wpadkę

Uzyskano dostęp do zdjęć i lokalizacji użytkowników – aplikacja do umawiania się na grupowy seks zaliczyła wpadkę

W danych użytkowników 3Fun można było niemal dowolnie przebierać. Badacze pokazali, jak łatwo zdobyć dostęp do lokalizacji, informacji o orientacji seksualnej czy daty urodzin osób szukających okazji na trójkąt w sieci. Jeśli ktokolwiek miałby problem ze zidentyfikowaniem konkretnych osób po tych danych, dostępne były także ich zdjęcia. Tak, te oznaczone jako prywatne też. 

Badacze Pen Test Partners nazywają zabezpieczenia 3fun najgorszymi, jakie kiedykolwiek widzieli wśród aplikacji randkowych. To wysoko postawione poprzeczka, jak sami przyznają, aplikacje randkowe miewają naprawdę złe zabezpieczenia.

Miła uprzejma para z Sądu Najwyższego szuka dojrzałego higienicznego mężczyzny do trójkąta.

Dane, do których ze względu na kiepskie zabezpieczenie aplikacji dotarli badacze, pozwalają bez problemu zidentyfikować poszczególne osoby.

Gromadzone informacje geolokalizacyjne pozwalały na bardzo precyzyjne ustalenie, gdzie znajduje się osoba, która korzysta z 3fun. Dzięki szerokości i długości geograficznej można na ich podstawie zidentyfikować konkretny dom czy budynek. W teorii miało to ułatwić zainteresowanym sobą użytkownikom łatwiejsze odnalezienie się w miejskiej dżungli, w praktyce mogło się okazać katastrofalne. Choć tę opcję można było wyłączyć, ale w praktyce zmieniało to niewiele, bo nie powstrzymywało to aplikacji przed gromadzeniem danych i wysyłaniem ich na serwer.

Jednak nie tylko dane lokalizacyjne mogą zdemaskować użytkowników. Łatwo dostępne były także daty urodzenia, płeć, informacje o orientacji seksualnej i, co najgorsze, zdjęcia użytkowników aplikacji i to nawet te umieszczone w prywatnych albumach.

3fun twierdzi, że ma około półtora miliona użytkowników, a mimo to prosiło się o katastrofę.

Wśród adresów, z których przeglądano aplikację, znalazł się Biały Dom, Sąd Najwyższy Stanów Zjednoczonych i siedziba brytyjskiego parlamentu. Na szczęście kręci się tam na tyle dużo osób, że jest szansa, że użytkownicy 3fun zachowają swoją anonimowość, a to jest szczególnie istotne w tym wypadku. Każdy, kogo dane pojawiają się w takim kontekście, narażony jest na szantaż, tym bardziej, jeśli jest osobą publiczną. Na szali są związki, rodziny, kariery, status społeczny i dalsze normalne życie.

Tego typu aplikacje powinny mieć szczególnie dobrą ochronę, nie szczególnie złą. Po interwencji Pen Test Partners dziury w zabezpieczeniach 3fun zostały załatane.

Dołącz do dyskusji