A Peekaboo pillanataiban az adatvédelem megsérti a baba fényképeket és videókat

Amikor a biztonsági szakemberek azt mondják, hogy bárki áldozatává válhat az adatmegsértés áldozatává, nem túlzásba lépnek azzal a reménytel, hogy mindenkit felesleges pánikba kerülnek. Dan Ehrlich, a Twelve Security nevű biztonsági tanácsadó cég nemrégiben felfedezett egy meglehetõsen nagy adatbázist, amely azt mutatta, hogy nem is kell tudnia, hogyan kell elektronikus eszközt használni az adatvédelem veszélyeztetése érdekében.

A kérdéses adatbázist az Alibaba Cloud tulajdonában lévő szerverekre hozták létre, és körülbelül 100 GB-os információt tárolt 2019. március és 2020. január között. Nagyon sok aggódni kellett, de Ehrlichre különösen aggódott, amikor olyan linkeket talált, amelyek hogy néztek ki képek és videók babákról. Rövid vizsgálat után rájött, hogy az adatok kiszivárognak a Peekaboo Moments-ből - egy mobilalkalmazásból, amely segít a szülőknek nyomon követni gyermekeik növekedését.

A Peekaboo Moments rengeteg személyes adatot fed le

Ehrlich kapcsolatba lépett az Információbiztonsági Média Csoport Jeremy Kirk-vel, aki megpróbált segíteni az esemény felelősségteljes nyilvánosságra hozatalában. Mindketten áttekintették a feltárt adatbázist, és rájöttek, hogy több mint 70 millió naplófájlt tartalmaz, amely a képekre és videókra mutató hivatkozások mellett mindenféle személyes információt tartalmaz, amelyek mind a szülők, mind a csecsemők számára tartoztak. Az adatokban megtaláltak a legalább legalább 800 ezer Peekaboo Moments fiókhoz társított e-mail címeket, csakúgy, mint az API-kulcsokat, amelyek lehetővé teszik a felhasználók számára, hogy az alkalmazást összekapcsolják a Facebook profiljukkal. Ezzel az információval felfegyverkezve a hackerek hozzáférhettek Mark Zuckerberg közösségi hálózatán megosztott információkhoz, és a támadást még könnyebbé tette, mert a Peekaboo Moments néhány saját API-kulcsot felfedte.

A naplók felhasználási statisztikákat és aggasztó mennyiségű információt tartalmaztak a babákról az egész világon. A fényképeken és a videókon kívül az adatbázis kiszivárogtatta az újszülöttek születési idejét, valamint súlyukra és magasságukra vonatkozó információkat. A GPS-adatok szintén kiszivárogtak, ami lehetővé tette a támadók számára, hogy meghatározzák a gyermekek pontos helyét.

Hogyan került a Peekaboo Moments ebbe a rendetlenségbe?

Ha elolvassa a Peekaboo Moments Google Play oldalán található marketing anyagot, akkor azt a benyomást kelti, hogy a Bithouse, Inc., az alkalmazás fejlesztője teljesen tudatában van annak, mennyire fontos a felhasználók adatainak titkosítása. A tények azonban másként sugallják.

A kiszivárogtatott információkat egy nem védett Elasticsearch szerverre helyezte, amely bárki számára elérhető volt böngészővel és internetkapcsolattal. A Bithouse messze nem az egyetlen olyan társaság, amely ezt a hibát elkövetette, de az a tény, hogy sok más jogsértő is létezik, nem szolgálhat valójában hibát enyhítő tényezőként, különösen akkor, ha tudod, hogy a csecsemők biztonsága a kártyákon szerepel. Dan Ehrlich szerint a tévesen konfigurált adatbázis csak a jéghegy csúcsa.

Azt mondta az Information Security Media Group-nak, hogy az alkalmazásban mindent "furcsán kész és durván bizonytalan". Ehrlich nem mélyült be a részletekbe, de biztosak vagyunk benne, hogy legalább részben a kritikájának köze van ahhoz a tényhez, hogy alapértelmezés szerint a Peekaboo Moments hivatalos weboldala (a kezdőlapon található bejelentkezési űrlapmal együtt) betöltődik a HTTPS helyett a HTTP alatt.

Az alkalmazás weboldaláról szólva, ha rámegy, bejelentést talál az adatszivárgásról, amelyet Jason Liu, a Peekaboo Moments vezérigazgatója írt. A nyilatkozat szerint a szivárgást egy hibásan konfigurált naplózási szerver okozta, amely a felhasználók adatainak "nagyon kis részét" tárolja. Liu bocsánatot kért a jogsértésért, megígérte, hogy vállalkozása mostantól megpróbál jobb eredményeket tenni, és megpróbálta mindenkit meggyőzni, hogy Ehrlich és Kirk kivételével kívüliek nem férnek hozzá az adatbázishoz. Nyilvánvaló, hogy a gyermekek fényképeire és videóira mutató hivatkozások már nem aktívak, mivel a Bithouse „röviddel” az első jelentés kézhezvétele után biztosította a szivárgó adatbázist.

Jeremy Kirk az események változata egy kicsit más. Az Információbiztonsági Médiacsoport jelentése szerint Jason Liával és társaságával való kapcsolatfelvétel többszöri kísérlete sikertelen volt. Kirk szerint csak néhány órával azután, hogy a történet kiderült, a Bithouse e-mailt küldött, amelyben kijelentette, hogy a szerver biztonságos.

Akárhogy is is van, a Peekaboo Moments adatszivárgása bizonyítékul szolgálhat arra, hogy a kiberbiztonsági események a társadalom leg ártatlanabb és legsebezhetőbb tagjait is érinthetik. Ezt a konkrét jogsértést valószínűleg szem előtt kell tartani, amikor legközelebb arra gondolsz, melyik alkalmazással kellene megosztania gyermeke fényképeit.