Et Peekaboo øjeblikkeligt dataovertrædelse udsætter babyfotos og -videoer

Når sikkerhedsspecialister fortæller dig, at enhver kan blive offer for en dataovertrædelse, overdriver de ikke med håb om at sætte alle i en tilstand af unødvendig panik. Dan Ehrlich fra et sikkerhedskonsulentfirma ved navn Twelve Security opdagede for nylig en temmelig stor database, som viste, at du ikke engang behøver at vide, hvordan du bruger en elektronisk enhed for at få dit privatliv kompromitteret.

Den pågældende database blev hostet på servere, der ejes af Alibaba Cloud, og den indeholdt omkring 100 GB information indsamlet mellem marts 2019 og januar 2020. Der var ganske meget at være bekymret for, men Ehrlich var især bekymret, da han fandt links, der førte til hvordan lignede fotos og videoer af babyer. Efter en kort undersøgelse indså han, at dataene lækkede fra Peekaboo Moments - en mobilapp, der hjælper forældre med at holde styr på deres børns vækst.

Peekaboo øjeblikke udsætter masser af personlige data

Ehrlich kom i kontakt med Information Security Media Groups Jeremy Kirk, der forsøgte at hjælpe med den ansvarlige afsløring af hændelsen. De to stak gennem den eksponerede database og fandt ud af, at den indeholdt over 70 millioner logfiler, som ud over link til fotos og videoer indeholdt alle mulige personlige oplysninger, der tilhørte både forældre og spædbørn. E-mail-adresserne, der er knyttet til "mindst" 800 tusind Peekaboo Moments-konti, blev fundet i dataene, og det samme var API-nøglerne, der lader brugere forbinde appen til deres Facebook-profiler. Bevæbnet med disse oplysninger kunne en hacker få adgang til oplysninger, der deles på Mark Zuckerbergs sociale netværk, og angrebet blev gjort endnu lettere, fordi Peekaboo Moments udsatte nogle af sine egne API-nøgler.

Logfilerne indeholdt også brugsstatistikker og en foruroligende mængde information relateret til babyer over hele verden. Ud over fotos og videoer lækkede databasen de nyfødte 'fødselsdato samt information om deres vægt og højde. GPS-data blev også lækket, hvilket ville have gjort det muligt for angribere at identificere børns præcise placering.

Hvordan endte Peekaboo øjeblikke i dette rod?

Hvis du læser gennem markedsføringsmaterialet på Peekaboo Moments ' Google Play-side, får du det indtryk, at Bithouse, Inc., appens udvikler, er fuldt ud klar over, hvor vigtigt det er at holde brugernes data private. Fakta antyder dog andet.

De lækkede oplysninger blev lagt på en ubeskyttet Elasticsearch-server, der var tilgængelig for alle med en browser og en internetforbindelse. Bithouse er langt fra det eneste firma, der har begået denne fejl, men det faktum, at der er mange andre lovovertrædere, kan ikke virkelig tjene som en skyldbegrænsende faktor, især når du ved, at spædbørns sikkerhed er på kortene. Ifølge Dan Ehrlich er den forkert konfigurerede database kun toppen af isbjerget.

Han fortalte Information Security Media Group, at "alt" omkring appen er "bizarrely udført og groft usikker." Ehrlich gik ikke for mange detaljer, men vi er temmelig sikre på, at i det mindste noget af hans kritik har noget at gøre med det faktum, at Peekaboo Moments 'officielle hjemmeside (komplet med en login-formular på hjemmesiden) som standard indlæses under HTTP snarere end HTTPS.

Når du taler om appens websted, hvis du går til den, finder du en meddelelse om datalækage skrevet af Jason Liu, Peekaboo Moments 'CEO. Ifølge udsagnet var lækagen forårsaget af en forkert konfigureret loggeserver, der indeholdt "en meget lille del" af brugernes data. Liu undskyldte overtrædelsen, lovede, at hans firma vil prøve at gøre det bedre fra nu af og forsøgte at overbevise alle, at bortset fra Ehrlich og Kirk, har ingen personer udenfor adgang til databasen. Tilsyneladende er linkene til børnebilleder og videoer ikke længere aktive, fordi Bithouse sikrede den utætte database "kort tid", efter at den modtog den første rapport.

Jeremy Kirks version af begivenheder er lidt anderledes. Informationssikkerhed Media Groups rapport siger, at flere forsøg på at komme i kontakt med Jason Liu og hans virksomhed endte med succes. Ifølge Kirk var det først nogle timer efter, at historien gik ud, at Bithouse returnerede en e-mail for at sige, at serveren er sikker.

Uanset hvad, Peekaboo Moments 'datalækage kan tjene som bevis på, at hændelser med cybersikkerhed kan påvirke selv de mest uskyldige og sårbare medlemmer af vores samfund. Denne særlige overtrædelse skal sandsynligvis huskes, næste gang du spekulerer på, hvilken app du skal bruge til at dele fotos af dit barn.