Kinomap er den seneste app, der lækker information på grund af frygtelig databasestyring
Det er ikke let at leve gennem coronavirus-pandemien og den lukning, den har tvunget på os, men alle, der føler sig fristede til at begynde at klage over det, bør ikke glemme, at det kunne have været meget værre. Takket være teknologi kan mange ting, der tidligere krævede at gå ud, nu gøres fra komforten i vores egne hjem. Apps som Kinomap kan endda hjælpe os med at holde os i form uden at forlade huset, hvilket er især vigtigt i lyset af den aktuelle situation.
Desværre medfører den ekstra bekvemmelighed sit eget sæt af problemer. Cybersikkerhed er en af dem, og den triste kendsgerning er, at vi ikke tænker så meget på det. Forskere fra vpnMentor viste os, hvorfor vi skulle prøve at være mere opmærksomme på det.
Kinomap efterlod over 42 millioner poster i en ubeskyttet database
Under ledelse af Noam Rotem og Ran Locar kom vpnMentors forskerteam med et webmapping-projekt, der scanner blokke af IP-adresser og finder tilsluttede enheder, der ikke er konfigureret korrekt. Forskningen har pågået i et stykke tid nu, og det har resulteret i opdagelsen og sanering af en hel del datalækager. Ovennævnte Kinomap er den seneste applikation, der falder inden for forskernes seværdigheder.
Sidste måned opdagede de en 40 GB-database, der ikke var beskyttet med en adgangskode. Et hurtigt blik lader forskerne vide, at de ser på information indsamlet af Kinomap, og efter en nærmere undersøgelse indså de, at de indeholdt de personlige oplysninger fra omkring 42 millioner brugere.
Selvom de ikke kan være sikre, antager vpnMentors eksperter, at dette muligvis er Kinomaps hele brugerbase. De berørte personer spredes over hele verden, og de er nødt til at være ekstra omhyggelige, fordi deres app for hjemme-træning udsatte en hel del information om dem. Blandt de lækkede detaljer fandt forskerne:
- navne
- Kinomap brugernavne
- Email adresse
- Hjemlande
Posterne indeholdt også telemetrioplysninger om, hvordan appen blev brugt, samt links til enkeltpersoner. Dette sammen med ovenstående data kan give hackere chancen for at organisere et sofistikeret phishing-angreb.
I nogle af posterne fandt eksperterne API-nøgler, som ville give angribere mulighed for at overtage hele konti.
Kinomaps udviklere er næppe de første mennesker, der fejlagtigt konfigurerer en internetforbundet database, og de vil sandsynligvis ikke være den sidste. I sådanne tilfælde er det vigtigt at se, at tjenesteudbydere og softwareleverandører ejer op til deres fejl og forsøger at lære af dem. De ansvarlige for Kinomap har imidlertid taget en anden tilgang.
Kinomap foretrækker ikke at kommentere den forkert konfigurerede database
vpnMentors eksperter opdagede først 16. marts Kinomaps fejlkonfigurerede database, og et par dage senere forsøgte de at komme i kontakt med udvikleren. Efter at have hørt noget i knap to uger gjorde de et andet forsøg på at afsløre lækagen den 30. marts. Forskerne ønskede at være sikre på, at nogen vil løse problemet, og det er grunden til, at de også informerede Kommissionen nationale de l'informatique et des libertés ( CNIL), en privatlivsregulator i Frankrig, det land, hvor Kinomaps udviklere er placeret. Den 12. april blev databasen til sidst trukket ned, og forskerne mener, at dette sandsynligvis skyldes CNILs engagement.
Da Sophos 'Lisa Vaas kom i kontakt med Kinomap, reagerede appens udviklere endelig. Virksomheden sagde, at den rettede sårbarheden "straks" efter at have fået besked om det, hvilket som du kan se er i skarp kontrast til det, som sikkerhedseksperterne rapporterede. Institutionerne, der håndhæver EU's almindelige databeskyttelsesforordning (GDPR), bør beslutte, om Kinomaps skabers reaktion var tilstrækkelig.
