Una violazione dei dati dei Peekaboo Moments espone foto e video di bambini

Quando gli specialisti della sicurezza ti dicono che chiunque può cadere vittima di una violazione dei dati, non stanno esagerando con la speranza di mettere tutti in uno stato di panico inutile. Dan Ehrlich di una società di consulenza sulla sicurezza chiamata Twelve Security ha recentemente scoperto un database piuttosto grande, il che ha dimostrato che non è nemmeno necessario sapere come utilizzare un dispositivo elettronico per compromettere la privacy.

Il database in questione era ospitato su server di proprietà di Alibaba Cloud e conteneva circa 100 GB di informazioni raccolte tra marzo 2019 e gennaio 2020. C'erano molte cose di cui preoccuparsi, ma Ehrlich era particolarmente preoccupato quando ha trovato collegamenti che hanno portato a quello che sembrava foto e video di bambini. Dopo una breve indagine, si è reso conto che i dati trapelavano da Peekaboo Moments, un'app mobile che aiuta i genitori a tenere traccia della crescita dei loro figli.

Peekaboo Moments espone tonnellate di dati personali

Ehrlich si è messo in contatto con Jeremy Kirk, gruppo di media sulla sicurezza delle informazioni, che ha cercato di aiutare con la divulgazione responsabile dell'incidente. I due hanno frugato nel database esposto e hanno scoperto che conteneva oltre 70 milioni di file di registro, che, oltre ai collegamenti a foto e video, contenevano tutti i tipi di informazioni personali che appartenevano a genitori e bambini. Gli indirizzi email associati a "almeno" 800 mila account Peekaboo Moments sono stati trovati nei dati, così come le chiavi API che consentono agli utenti di connettere l'app ai loro profili Facebook. Grazie a queste informazioni, un hacker poteva accedere alle informazioni condivise sul social network di Mark Zuckerberg e l'attacco è stato reso ancora più semplice perché Peekaboo Moments ha esposto alcune delle proprie chiavi API.

I registri contenevano anche statistiche sull'utilizzo e una quantità preoccupante di informazioni relative ai bambini di tutto il mondo. Oltre a foto e video, il database ha fatto trapelare le date di nascita dei neonati e le informazioni sul loro peso e altezza. Anche i dati GPS sono stati divulgati, il che avrebbe consentito agli aggressori di individuare con precisione la posizione dei bambini.

Come sono finiti i Momenti Peekaboo in questo casino?

Se leggi il materiale di marketing sulla pagina Google Play di Peekaboo Moments, ti sembrerà che Bithouse, Inc., lo sviluppatore dell'app, sia pienamente consapevole dell'importanza di mantenere privati i dati degli utenti. I fatti, tuttavia, suggeriscono il contrario.

Le informazioni trapelate sono state inserite su un server Elasticsearch non protetto accessibile a chiunque disponga di un browser e di una connessione Internet. Bithouse è ben lungi dall'essere l'unica società che ha commesso questo errore, ma il fatto che ci siano molti altri autori di reato non può davvero fungere da fattore attenuante della colpa, soprattutto quando si sa che la sicurezza dei bambini è in gioco. Secondo Dan Ehrlich, il database non configurato correttamente è solo la punta dell'iceberg.

Ha detto a Information Security Media Group che "tutto" sull'app è "fatto in modo bizzarro e gravemente insicuro". Ehrlich non è entrato in troppi dettagli, ma siamo abbastanza sicuri che almeno alcune delle sue critiche hanno qualcosa a che fare con il fatto che, per impostazione predefinita, il sito Web ufficiale di Peekaboo Moments (completo di un modulo di accesso sulla homepage) carica sotto HTTP anziché HTTPS.

Parlando del sito web dell'app, se ci vai, troverai un annuncio relativo alla perdita di dati scritta da Jason Liu, CEO di Peekaboo Moments. Secondo la dichiarazione, la perdita era causata da un server di registrazione non configurato correttamente che conteneva "una porzione molto piccola" di dati degli utenti. Liu si è scusato per la violazione, ha promesso che la sua compagnia proverà a fare meglio d'ora in poi, e ha cercato di convincere tutti che, a parte Ehrlich e Kirk, nessuna persona esterna ha avuto accesso al database. Apparentemente, i collegamenti alle foto e ai video dei bambini non sono più attivi perché Bithouse ha protetto il database che perde "poco" dopo aver ricevuto il primo rapporto.

La versione degli eventi di Jeremy Kirk è leggermente diversa. Il rapporto del gruppo Media sulla sicurezza delle informazioni afferma che numerosi tentativi di mettersi in contatto con Jason Liu e la sua azienda sono falliti. Secondo Kirk, non è stato fino a diverse ore dopo la notizia che Bithouse ha restituito un'email per dire che il server è sicuro.

In ogni caso, la fuga di dati di Peekaboo Moments può servire come prova che gli incidenti di sicurezza informatica possono colpire anche i membri più innocenti e vulnerabili della nostra società. Questa particolare violazione dovrebbe probabilmente essere tenuta a mente la prossima volta che ti chiedi quale app dovresti usare per condividere le foto di tuo figlio.