Kinomap è l'ultima app a perdere informazioni a causa della terribile gestione del database

Vivere attraverso la pandemia di coronavirus e il blocco che ci ha imposto non è facile, ma chiunque si senta tentato di iniziare a lamentarsene non dovrebbe dimenticare che avrebbe potuto essere molto peggio. Grazie alla tecnologia, molte cose che prima richiedevano di uscire possono ora essere fatte comodamente da casa nostra. App come Kinomap possono anche aiutarci a rimanere in forma senza uscire di casa, il che è particolarmente importante vista la situazione attuale.

Sfortunatamente, la comodità aggiuntiva comporta una serie di problemi. La sicurezza informatica è una di queste, e il triste fatto è che non ci pensiamo molto. I ricercatori di vpnMentor ci hanno mostrato perché dovremmo cercare di prestare maggiore attenzione ad esso.

Kinomap ha lasciato oltre 42 milioni di record in un database non protetto

Guidato da Noam Rotem e Ran Locar, il team di ricerca di vpnMentor ha ideato un progetto di mappatura web che analizza i blocchi di indirizzi IP e trova i dispositivi collegati che non sono configurati correttamente. La ricerca è in corso da un po 'di tempo e ha portato alla scoperta e alla correzione di alcune perdite di dati. Il summenzionato Kinomap è l'ultima applicazione a cadere nel mirino dei ricercatori.

Il mese scorso hanno scoperto un database da 40 GB che non era protetto da una password. Una rapida occhiata fa sapere ai ricercatori che stanno esaminando le informazioni raccolte da Kinomap e, dopo un'attenta ispezione, si sono resi conto che conteneva le informazioni personali di circa 42 milioni di utenti.

Sebbene non possano esserne sicuri, gli esperti di vpnMentor ritengono che questa potrebbe essere l'intera base utenti di Kinomap. Le persone colpite sono diffuse in tutto il mondo e devono fare molta attenzione perché la loro app di allenamento a casa ha esposto molte informazioni su di loro. Tra i dettagli trapelati, i ricercatori hanno scoperto:

• nomi
• Nomi utente Kinomap
• Indirizzi email
• Paesi di origine

I record includevano anche informazioni di telemetria su come veniva utilizzata l'app e collegamenti a singoli account. Questo, insieme ai dati di cui sopra, potrebbe offrire agli hacker la possibilità di organizzare un sofisticato attacco di phishing.

In alcuni registri, gli esperti hanno trovato chiavi API, che avrebbero consentito agli aggressori di assumere interi account.

Gli sviluppatori di Kinomap non sono certo i primi a configurare in modo errato un database connesso a Internet e probabilmente non saranno gli ultimi. In questi casi, è importante vedere i fornitori di servizi e i fornitori di software far fronte ai propri errori e provare a imparare da loro. I responsabili di Kinomap, tuttavia, hanno adottato un approccio diverso.

Kinomap preferisce non commentare il database non configurato correttamente

Gli esperti di vpnMentor hanno scoperto per la prima volta il database non configurato correttamente di Kinomap il 16 marzo e un paio di giorni dopo hanno provato a mettersi in contatto con lo sviluppatore. Dopo aver sentito nulla per poco meno di due settimane, hanno fatto un altro tentativo di rivelare la fuga il 30 marzo. I ricercatori volevano essere sicuri che qualcuno avrebbe risolto il problema, motivo per cui hanno anche informato la Commissione nazionale de l'informatique et des libertés ( CNIL), un regolatore della privacy in Francia, il paese in cui si trovano gli sviluppatori di Kinomap. Il 12 aprile, il database è stato finalmente abbattuto e i ricercatori pensano che ciò sia probabilmente dovuto al coinvolgimento della CNIL.

Quando Lisa Vaas di Sophos si è messa in contatto con Kinomap, gli sviluppatori dell'app hanno finalmente risposto. La società ha dichiarato di aver risolto la vulnerabilità "immediatamente" dopo essere stata informata al riguardo, il che, come potete vedere, è in netto contrasto con quanto riportato dagli esperti di sicurezza. Le istituzioni che applicano il regolamento generale sulla protezione dei dati (GDPR) dell'UE dovrebbero decidere se la reazione dei creatori di Kinomap è stata adeguata.