Το Kinomap είναι η πιο πρόσφατη εφαρμογή για διαρροή πληροφοριών λόγω της φρικτής διαχείρισης βάσεων δεδομένων

Το να ζεις μέσα από την πανδημία του κοροναϊού και το κλείδωμα που μας έχει επιβάλει δεν είναι εύκολο, αλλά όποιος αισθάνεται πειρασμένος να αρχίσει να διαμαρτύρεται για αυτό δεν πρέπει να ξεχνά ότι θα μπορούσε να ήταν πολύ χειρότερο. Χάρη στην τεχνολογία, πολλά πράγματα που προηγουμένως απαιτούσαν έξοδο μπορούν τώρα να γίνουν από την άνεση των σπιτιών μας. Εφαρμογές όπως το Kinomap μπορούν ακόμη και να μας βοηθήσουν να παραμείνουμε σε φόρμα χωρίς να φύγουμε από το σπίτι, κάτι που είναι ιδιαίτερα σημαντικό δεδομένης της τρέχουσας κατάστασης.

Δυστυχώς, η επιπλέον ευκολία δημιουργεί το δικό της σύνολο προβλημάτων. Η ασφάλεια στον κυβερνοχώρο είναι ένα από αυτά, και το λυπηρό γεγονός είναι ότι δεν το πιστεύουμε τόσο πολύ. Ερευνητές από το vpnMentor μας έδειξαν γιατί πρέπει να προσπαθήσουμε και να δώσουμε μεγαλύτερη προσοχή σε αυτό.

Η Kinomap άφησε πάνω από 42 εκατομμύρια εγγραφές σε μια μη προστατευμένη βάση δεδομένων

Με επικεφαλής τους Noam Rotem και Ran Locar, η ερευνητική ομάδα του vpnMentor βρήκε ένα έργο χαρτογράφησης ιστού που σαρώνει μπλοκ διευθύνσεων IP και βρίσκει συνδεδεμένες συσκευές που δεν έχουν ρυθμιστεί σωστά. Η έρευνα συνεχίζεται εδώ και λίγο καιρό και είχε ως αποτέλεσμα την ανακάλυψη και αποκατάσταση αρκετών διαρροών δεδομένων. Το προαναφερθέν Kinomap είναι η τελευταία εφαρμογή που εμπίπτει στα αξιοθέατα των ερευνητών.

Τον περασμένο μήνα, ανακάλυψαν μια βάση δεδομένων 40 GB που δεν προστατεύεται από κωδικό πρόσβασης. Μια γρήγορη ματιά ενημέρωσε τους ερευνητές ότι εξετάζουν τις πληροφορίες που συγκεντρώθηκαν από το Kinomap και μετά από μια πιο προσεκτική επιθεώρηση, συνειδητοποίησαν ότι περιείχαν τις προσωπικές πληροφορίες περίπου 42 εκατομμυρίων χρηστών.

Αν και δεν μπορούν να είναι σίγουροι, οι ειδικοί του vpnMentor εκτιμούν ότι αυτό μπορεί να είναι ολόκληρο το userbase του Kinomap. Τα άτομα που έχουν πληγεί εξαπλώνονται σε όλο τον κόσμο και πρέπει να είναι πολύ προσεκτικά, επειδή η εφαρμογή τους για την προπόνηση στο σπίτι εκθέτει πολλές πληροφορίες σχετικά με αυτά. Μεταξύ των διαρροών στοιχείων, οι ερευνητές διαπίστωσαν:

• Ονόματα
• Όνομα χρήστη Kinomap
• Διευθύνσεις ηλεκτρονικού ταχυδρομείου
• Χώρες καταγωγής

Τα αρχεία περιλάμβαναν επίσης πληροφορίες τηλεμετρίας σχετικά με τον τρόπο χρήσης της εφαρμογής, καθώς και συνδέσμους προς μεμονωμένους λογαριασμούς. Αυτό, σε συνδυασμό με τα παραπάνω δεδομένα, θα μπορούσε να δώσει στους χάκερ την ευκαιρία να οργανώσουν μια εξελιγμένη επίθεση ηλεκτρονικού ψαρέματος.

Σε ορισμένα από τα αρχεία, οι ειδικοί βρήκαν κλειδιά API, τα οποία θα επέτρεπαν στους εισβολείς να αναλάβουν ολόκληρους λογαριασμούς.

Οι προγραμματιστές του Kinomap είναι σχεδόν οι πρώτοι που δεν έχουν διαμορφώσει σωστά μια βάση δεδομένων με σύνδεση στο Διαδίκτυο και πιθανότατα δεν θα είναι η τελευταία. Σε τέτοιες περιπτώσεις, είναι σημαντικό να βλέπετε τους παρόχους υπηρεσιών και τους προμηθευτές λογισμικού να έχουν τα λάθη τους και να προσπαθούν να μάθουν από αυτούς. Οι υπεύθυνοι του Kinomap, ωστόσο, έχουν υιοθετήσει μια διαφορετική προσέγγιση.

Το Kinomap προτιμά να μην σχολιάζει την εσφαλμένη διαμόρφωση βάσης δεδομένων

Οι ειδικοί του vpnMentor ανακάλυψαν για πρώτη φορά τη λανθασμένη διαμόρφωση της Kinomap στις 16 Μαρτίου και μερικές μέρες αργότερα, προσπάθησαν να επικοινωνήσουν με τον προγραμματιστή. Αφού δεν άκουσαν τίποτα για λιγότερο από δύο εβδομάδες, κατέβαλαν μια άλλη προσπάθεια να αποκαλύψουν τη διαρροή στις 30 Μαρτίου. Οι ερευνητές ήθελαν να είναι σίγουροι ότι κάποιος θα επιλύσει το πρόβλημα, γι 'αυτό ενημέρωσαν επίσης την Επιτροπή των εθνών de l'informatique et des libertés ( CNIL), ρυθμιστής απορρήτου στη Γαλλία, τη χώρα στην οποία βρίσκονται οι προγραμματιστές του Kinomap. Στις 12 Απριλίου, η βάση δεδομένων καταργήθηκε τελικά και οι ερευνητές πιστεύουν ότι αυτό οφείλεται πιθανώς στη συμμετοχή της CNIL.

Όταν η Lisa Vaas της Sophos ήρθε σε επαφή με το Kinomap, οι προγραμματιστές της εφαρμογής απάντησαν τελικά. Η εταιρεία είπε ότι διόρθωσε την ευπάθεια "αμέσως" αφού ενημερωθεί για αυτό, το οποίο, όπως μπορείτε να δείτε, έρχεται σε πλήρη αντίθεση με αυτό που ανέφεραν οι ειδικοί ασφαλείας. Τα θεσμικά όργανα που επιβάλλουν τον Γενικό Κανονισμό Προστασίας Δεδομένων της ΕΕ (GDPR) πρέπει να αποφασίσουν εάν η αντίδραση των δημιουργών της Kinomap ήταν επαρκής.