A Kinomap a legfrissebb alkalmazás az információk kiszivárogtatásához a szörnyű adatbázis-kezelés miatt
A koronavírus-járvány és a ránk kényszerített leállás átélése nem könnyű, ám mindenkinek, aki úgy érzi, hogy hajlandó panaszkodni, ne felejtse el, hogy sokkal rosszabb is lehetett. A technológiának köszönhetően sok olyan dolog, amelyre korábban szükség volt, kimentésre kerülhet, saját otthonunk kényelme alapján. Az olyan alkalmazások, mint a Kinomap, még a formájában is megőrizhetik minket anélkül, hogy elhagynánk a házat, ami a jelenlegi helyzetre tekintettel különösen fontos.
Sajnos az extra kényelem a saját problémáit hozza magával. Az egyik a kiberbiztonság, és az ügy szomorú ténye az, hogy nem gondolunk erre sokat. A vpnMentor kutatói megmutatták, miért kellene több figyelmet fordítanunk erre.
A Kinomap több mint 42 millió rekordot hagyott védelem nélküli adatbázisban
Noam Rotem és Ran Locar vezetésével a vpnMentor kutatócsoportja webes leképezési projektet dolgozott ki, amely beolvassa az IP-címek blokkjait és megtalálja a nem megfelelően konfigurált csatlakoztatott eszközöket. A kutatás már egy ideje folytatódik, és számos adatszivárgás felfedezését és orvoslását eredményezte. A fent említett Kinomap a legújabb alkalmazás, amely a kutatók látványába esik.
A múlt hónapban 40 GB-os adatbázist fedeztek fel, amelyet nem védtek jelszóval. Egy gyors pillantással tudatta a kutatókat, hogy a Kinomap által összegyűjtött információkat vizsgálják, és egy közelebbi vizsgálat után rájöttek, hogy az körülbelül 42 millió felhasználó személyes adatait tartalmazza.
Bár nem lehetnek biztosak benne, a vpnMentor szakértői úgy vélik, hogy ez a Kinomap teljes felhasználói adatbázisa lehet. Az érintett egyének az egész világon elterjedtek, és különös óvatossággal kell eljárniuk, mivel otthoni edzésprogramjuk nagyon sok információt fed fel róluk. A kiszivárgott részletek között a kutatók megállapították:
- nevek
- Kinomap felhasználónevek
- Email címek
- Hazai országok
A nyilvántartások telemetriai információkat tartalmaznak az alkalmazás használatáról, valamint linkeket az egyéni fiókokhoz. Ez a fenti adatokkal együtt lehetőséget adhat a hackereknek kifinomult adathalász támadások megszervezésére.
Néhány nyilvántartásban a szakértők API kulcsokat találtak, amelyek lehetővé teszik a támadók számára, hogy a teljes fiókot átvegyék.
A Kinomap fejlesztői csak alig voltak olyan emberek, akik tévesen konfiguráltak egy internethez csatlakoztatott adatbázist, és valószínűleg nem lesznek utoljára. Ilyen esetekben fontos látni, hogy a szolgáltatók és a szoftvergyártók maguk viselik hibáikat, és megpróbálnak tőlük tanulni. A Kinomapért felelős emberek azonban más megközelítést alkalmaztak.
Kinomap inkább nem kommentálja a tévesen konfigurált adatbázist
A vpnMentor szakértői először március 16-án fedezték fel a Kinomap tévesen konfigurált adatbázisát, és néhány nappal később megpróbálták felvenni a kapcsolatot a fejlesztővel. Nem sokkal kevesebb, mint két hét alatt semmit sem hallottak, és március 30-án újabb kísérletet tettek a szivárgás felfedésére. A kutatók biztosak voltak benne, hogy valaki megoldja a problémát, ezért tájékoztatták a Bizottság nemzeti de l'informatique et des libertés ( CNIL), a magánélet szabályozója Franciaországban, az országban, ahol a Kinomap fejlesztői találhatók. Április 12-én végül lebontották az adatbázist, és a kutatók szerint ez valószínűleg a CNIL részvételének köszönhető.
Amikor Sophos Lisa Vaas kapcsolatba lépett Kinomapmal, az alkalmazás fejlesztői végül reagáltak. A cég azt mondta, hogy "azonnal" kijavította a sebezhetőséget, miután értesítést kapott róla, ami - mint láthatja - éles ellentétben áll azzal, amit a biztonsági szakértők beszámoltak. Az EU általános adatvédelmi rendeletét (GDPR) végrehajtó intézményeknek el kell dönteni, hogy a Kinomap alkotói reakciója megfelelő volt-e.