Μια παραβίαση δεδομένων Peekaboo Moments Data εκθέτει φωτογραφίες και βίντεο μωρών

Όταν οι ειδικοί ασφαλείας σας λένε ότι κάποιος μπορεί να πέσει θύμα παραβίασης των δεδομένων, δεν υπερβάλλονται με την ελπίδα να τεθεί ο καθένας σε κατάσταση περιττού πανικού. Ο Dan Ehrlich από μια εταιρεία συμβούλων ασφαλείας με την επωνυμία Twelve Security ανακάλυψε πρόσφατα μια αρκετά μεγάλη βάση δεδομένων, η οποία έδειξε ότι δεν χρειάζεται καν να γνωρίζετε πώς να χρησιμοποιείτε μια ηλεκτρονική συσκευή για να θέτετε σε κίνδυνο την ιδιωτική ζωή σας.

Η εν λόγω βάση δεδομένων φιλοξενήθηκε σε διακομιστές που ανήκουν στον Alibaba Cloud και συγκέντρωσε περίπου 100 GB πληροφοριών που συλλέχθηκαν από τον Μάρτιο του 2019 έως τον Ιανουάριο του 2020. Υπήρχαν πολλά να ανησυχούν, αλλά ο Ehrlich ανησυχεί ιδιαίτερα όταν βρήκε δεσμούς που οδήγησαν τι έμοιαζε με φωτογραφίες και βίντεο των μωρών. Μετά από μια σύντομη έρευνα, συνειδητοποίησε ότι τα δεδομένα διαρρέουν από την Peekaboo Moments - μια εφαρμογή για κινητά που βοηθά τους γονείς να παρακολουθούν την ανάπτυξη των παιδιών τους.

Το Peekaboo Moments εκθέτει τόνους προσωπικών δεδομένων

Ο Ehrlich έρχεται σε επαφή με τον Jeremy Kirk της Media Security Media, ο οποίος προσπάθησε να βοηθήσει με την υπεύθυνη αποκάλυψη του συμβάντος. Οι δύο έσκαψαν μέσω της εκτεθειμένης βάσης δεδομένων και διαπίστωσαν ότι περιείχαν πάνω από 70 εκατομμύρια αρχεία καταγραφής, τα οποία, εκτός από συνδέσεις με φωτογραφίες και βίντεο, κρατούσαν κάθε είδους προσωπικές πληροφορίες που ανήκαν και στους γονείς και στα βρέφη. Οι διευθύνσεις ηλεκτρονικού ταχυδρομείου που σχετίζονται με "τουλάχιστον" 800 χιλιάδες λογαριασμούς Peekaboo Moments βρέθηκαν στα δεδομένα, και έτσι ήταν τα κλειδιά API που επιτρέπουν στους χρήστες να συνδέουν την εφαρμογή με τα προφίλ τους στο Facebook. Οπλισμένοι με αυτές τις πληροφορίες, ένας χάκερ θα μπορούσε να έχει πρόσβαση σε πληροφορίες που μοιράζονται το κοινωνικό δίκτυο του Mark Zuckerberg και η επίθεση έγινε ακόμη πιο εύκολη επειδή η Peekaboo Moments εξέθεσε μερικά από τα δικά της κλειδιά API.

Τα αρχεία καταγραφής περιείχαν επίσης στατιστικά στοιχεία χρήσης και ανησυχητικό ποσό πληροφοριών σχετικά με τα μωρά σε όλο τον κόσμο. Εκτός από τις φωτογραφίες και τα βίντεο, η βάση δεδομένων διέρρευσαν τις ημερομηνίες γέννησης των νεογέννητων καθώς και πληροφορίες σχετικά με το βάρος και το ύψος τους. Έγινε επίσης διαρροή δεδομένων GPS, τα οποία θα επέτρεπαν στους επιτιθέμενους να εντοπίσουν την ακριβή τοποθεσία των παιδιών.

Πώς τα Peekaboo Moments καταλήγουν σε αυτό το χάος;

Αν διαβάσετε μέσω του υλικού μάρκετινγκ στη σελίδα Google Play του Peekaboo Moments, θα έχετε την εντύπωση ότι η εταιρεία ανάπτυξης εφαρμογών της Bithouse, Inc., έχει πλήρη επίγνωση του πόσο σημαντικό είναι να διατηρούνται ιδιωτικά τα δεδομένα των χρηστών. Ωστόσο, τα γεγονότα δείχνουν διαφορετικά.

Οι πληροφορίες που διέρρευσαν τοποθετήθηκαν σε ένα μη προστατευμένο διακομιστή Elasticsearch, ο οποίος ήταν προσβάσιμος σε οποιονδήποτε με πρόγραμμα περιήγησης και σύνδεση στο διαδίκτυο. Η Bithouse απέχει πολύ από τη μόνη εταιρεία που έκανε αυτό το λάθος, αλλά το γεγονός ότι υπάρχουν πολλοί άλλοι παραβάτες δεν μπορεί πραγματικά να χρησιμεύσει ως παράγοντας ελαφρύνσεως της ευθύνης, ειδικά όταν γνωρίζετε ότι η ασφάλεια των βρεφών βρίσκεται στις κάρτες. Σύμφωνα με τον Dan Ehrlich, η λανθασμένη βάση δεδομένων είναι ακριβώς η κορυφή του παγόβουνου.

Είπε στην Ομάδα Πληροφορικής για την Ασφάλεια Πληροφοριών ότι "όλα" σχετικά με την εφαρμογή "γίνονται παράξενα και υπερβολικά ανασφαλείς". Ο Ehrlich δεν πήγε σε πάρα πολλές λεπτομέρειες, αλλά είμαστε αρκετά σίγουροι ότι τουλάχιστον κάποιες από τις επικρίσεις του έχουν σχέση με το γεγονός ότι, από προεπιλογή, ο επίσημος δικτυακός τόπος της Peekaboo Moments (συμπληρώνεται με φόρμα εγγραφής στην αρχική σελίδα) φορτώνει κάτω από το HTTP παρά από το HTTPS.

Μιλώντας για τον ιστότοπο της εφαρμογής, αν πάτε σε αυτό, θα βρείτε μια ανακοίνωση σχετικά με τη διαρροή δεδομένων που έγραψε ο Jason Liu, Διευθύνων Σύμβουλος της Peekaboo Moments. Σύμφωνα με τη δήλωση, η διαρροή προκλήθηκε από έναν κακόμορφο διακομιστή καταγραφής που κρατούσε "ένα πολύ μικρό τμήμα" των δεδομένων των χρηστών. Ο Liu ζήτησε συγγνώμη για την παραβίαση, υποσχέθηκε ότι η επιχείρησή του θα προσπαθήσει να κάνει καλύτερα από δω και πέρα και προσπάθησε να πείσει όλους ότι εκτός από τον Ehrlich και τον Kirk, κανένας εξωτερικός κόσμος δεν έχει πρόσβαση στη βάση δεδομένων. Προφανώς, οι συνδέσεις με τις φωτογραφίες και τα βίντεο των παιδιών δεν είναι πλέον ενεργές, επειδή ο Bithouse εξασφάλισε τη "διαλείπουσα" βάση δεδομένων μετά τη λήψη της πρώτης έκθεσης.

Η εκδοχή των γεγονότων του Jeremy Kirk είναι λίγο διαφορετική. Η έκθεση για την Ομάδα Πληροφοριών για την Ασφάλεια Πληροφοριών αναφέρει ότι οι πολλαπλές προσπάθειες επικοινωνίας με τον Jason Liu και την εταιρεία του κατέληξαν σε αποτυχία. Σύμφωνα με τον Kirk, δεν ήταν παρά αρκετές ώρες μετά την ιστορία που βγήκε ότι Bithouse επέστρεψε ένα μήνυμα ηλεκτρονικού ταχυδρομείου για να πει ότι ο διακομιστής είναι ασφαλής.

Όποια και αν είναι η περίπτωση, η διαρροή δεδομένων του Peekaboo Moments μπορεί να χρησιμεύσει ως απόδειξη ότι τα περιστατικά στον κυβερνοχώρο μπορούν να επηρεάσουν ακόμα και τα πιο αθώα και ευάλωτα μέλη της κοινωνίας μας. Αυτή η συγκεκριμένη παραβίαση θα πρέπει πιθανώς να ληφθεί υπόψη την επόμενη φορά που αναρωτιέστε ποια εφαρμογή θα πρέπει να χρησιμοποιήσετε για να μοιραστείτε φωτογραφίες του παιδιού σας.