Kinomap ist die neueste App, um Informationen aufgrund der schrecklichen Datenbankverwaltung zu verlieren

Es ist nicht einfach, die Coronavirus-Pandemie und die damit verbundene Sperrung zu überstehen, aber jeder, der versucht ist, sich darüber zu beschweren, sollte nicht vergessen, dass es viel schlimmer hätte sein können. Dank der Technologie können viele Dinge, die früher zum Ausgehen erforderlich waren, jetzt bequem von zu Hause aus erledigt werden. Apps wie Kinomap können uns sogar dabei helfen, in Form zu bleiben, ohne das Haus zu verlassen, was angesichts der aktuellen Situation besonders wichtig ist.

Leider bringt der zusätzliche Komfort seine eigenen Probleme mit sich. Cybersicherheit ist eine davon, und die traurige Tatsache ist, dass wir nicht so viel darüber nachdenken. Forscher von vpnMentor haben uns gezeigt, warum wir versuchen sollten, dem mehr Aufmerksamkeit zu schenken.

Kinomap hat über 42 Millionen Datensätze in einer ungeschützten Datenbank hinterlassen

Unter der Leitung von Noam Rotem und Ran Locar entwickelte das Forschungsteam von vpnMentor ein Web-Mapping-Projekt, bei dem IP-Adressblöcke gescannt und verbundene Geräte gefunden werden, die nicht ordnungsgemäß konfiguriert sind. Die Forschung ist bereits seit einiger Zeit im Gange und hat zur Entdeckung und Behebung einiger Datenlecks geführt. Die oben erwähnte Kinomap ist die neueste Anwendung, die den Forschern ins Visier genommen wird.

Letzten Monat entdeckten sie eine 40-GB-Datenbank, die nicht durch ein Passwort geschützt war. Ein kurzer Blick ließ die Forscher wissen, dass sie sich die von Kinomap gesammelten Informationen ansehen, und bei näherer Betrachtung stellten sie fest, dass sie die persönlichen Informationen von rund 42 Millionen Benutzern enthielten.

Obwohl sie nicht sicher sein können, gehen die Experten von vpnMentor davon aus, dass dies die gesamte Nutzerbasis von Kinomap sein könnte. Die Betroffenen sind auf der ganzen Welt verteilt und müssen besonders vorsichtig sein, da ihre Heimtrainings-App viele Informationen über sie enthält. Unter den durchgesickerten Details fanden die Forscher:

• Namen
• Kinomap-Benutzernamen
• E-mailadressen
• Heimatländer

Die Aufzeichnungen enthielten auch Telemetrieinformationen zur Verwendung der App sowie Links zu einzelnen Konten. Zusammen mit den oben genannten Daten könnte dies Hackern die Möglichkeit geben, einen ausgeklügelten Phishing-Angriff zu organisieren.

In einigen Aufzeichnungen fanden die Experten API-Schlüssel, mit denen Angreifer ganze Konten übernehmen konnten.

Die Entwickler von Kinomap sind kaum die ersten, die eine mit dem Internet verbundene Datenbank falsch konfigurieren, und sie werden wahrscheinlich nicht die letzten sein. In solchen Fällen ist es wichtig zu sehen, dass Dienstanbieter und Softwareanbieter ihre Fehler eingestehen und versuchen, daraus zu lernen. Die Verantwortlichen von Kinomap haben jedoch einen anderen Ansatz gewählt.

Kinomap zieht es vor, die falsch konfigurierte Datenbank nicht zu kommentieren

Die Experten von vpnMentor entdeckten am 16. März erstmals die falsch konfigurierte Datenbank von Kinomap und versuchten einige Tage später, mit dem Entwickler in Kontakt zu treten. Nachdem sie knapp zwei Wochen lang nichts gehört hatten, unternahmen sie am 30. März einen weiteren Versuch, das Leck aufzudecken. Die Forscher wollten sicher sein, dass jemand das Problem beheben wird, weshalb sie auch die Kommission nationale de l'informatique et des libertés ( CNIL), eine Datenschutzbehörde in Frankreich, dem Land, in dem sich die Entwickler von Kinomap befinden. Am 12. April wurde die Datenbank endgültig heruntergezogen, und die Forscher glauben, dass dies wahrscheinlich auf die Beteiligung von CNIL zurückzuführen ist.

Als Sophos 'Lisa Vaas mit Kinomap Kontakt aufnahm, antworteten die Entwickler der App schließlich. Das Unternehmen gab an, die Sicherheitsanfälligkeit "sofort" nach Benachrichtigung behoben zu haben, was, wie Sie sehen, in starkem Gegensatz zu den Berichten der Sicherheitsexperten steht. Die Institutionen, die die EU-Datenschutzgrundverordnung (DSGVO) durchsetzen, sollten entscheiden, ob die Reaktion der Urheber von Kinomap angemessen war.