„Peekaboo Moments“ duomenų pažeidimas atskleidžia kūdikių nuotraukas ir vaizdo įrašus

Kai saugumo specialistai jums sako, kad bet kuris asmuo gali tapti duomenų pažeidimo auka, jie nepadeda per daug tikėdamiesi visus išvesti į nereikalingos panikos būseną. Danas Ehrlichas iš saugos konsultacijų bendrovės, pavadintos „ Twelve Security“, neseniai atrado gana didelę duomenų bazę, kuri parodė, kad jums net nereikia žinoti, kaip naudoti elektroninį įrenginį, kad būtų pažeista jūsų privatumas.

Aptariama duomenų bazė buvo talpinama serveriuose, priklausančiuose „Alibaba Cloud“, ir joje buvo apie 100 GB informacijos, surinktos nuo 2019 m. Kovo iki 2020 m. Sausio mėn. Neramu buvo daug jaudintis, tačiau Ehrlich buvo ypač susirūpinęs, kai rado nuorodų, paskatinusių kaip atrodė kūdikių nuotraukos ir vaizdo įrašai. Po trumpo tyrimo jis suprato, kad duomenys nutekėjo iš „Peekaboo Moments“ - mobiliosios programos, kuri padeda tėvams sekti savo vaikų augimą.

„Peekaboo Moments“ atskleidžia daugybę asmens duomenų

Ehrlichas susisiekė su Informacijos saugumo žiniasklaidos grupės atstovu Jeremy Kirku, kuris bandė padėti atsakingai atskleisti įvykį. Jie abu apžiūrėjo paviešintą duomenų bazę ir išsiaiškino, kad joje yra daugiau nei 70 milijonų žurnalo failų, kuriuose, be nuorodų į nuotraukas ir vaizdo įrašus, buvo saugoma įvairi asmeninė informacija, priklausanti tiek tėvams, tiek kūdikiams. Duomenyse buvo rasti el. Pašto adresai, susieti su „mažiausiai“ 800 tūkstančių „Peekaboo Moments“ paskyrų, taip pat ir API raktai, leidę vartotojams prijungti programą prie savo „Facebook“ profilių. Apsiginklavęs šia informacija, įsilaužėlis galėjo pasiekti informaciją, kuria dalijamasi Marko Zuckerbergo socialiniame tinkle, ir ataka tapo dar lengvesnė, nes „Peekaboo Moments“ atskleidė kai kuriuos savo API raktus.

Žurnaluose taip pat buvo naudojimo statistika ir nerimą kelianti informacija apie kūdikius visame pasaulyje. Be nuotraukų ir vaizdo įrašų, duomenų bazėje buvo naujagimių gimimo datos ir informacija apie jų svorį ir ūgį. Buvo nutekinti ir GPS duomenys, kurie užpuolikams būtų leidę tiksliai nustatyti vaikų tikslią vietą.

Kaip „Peekaboo Moments“ baigėsi šia netvarka?

Jei perskaitysite rinkodaros medžiagą „Peekaboo Moments“ „ Google Play“ puslapyje, jums liks įspūdis, kad programos kūrėjas „Bithouse, Inc.“ puikiai supranta, kaip svarbu išlaikyti vartotojų duomenis privačius. Tačiau faktai rodo kitaip.

Nutekėjusi informacija buvo patalpinta į neapsaugotą „Elasticsearch“ serverį, kuriuo galėjo naudotis visi, turintys naršyklę ir interneto ryšį. „Bithouse“ yra toli gražu ne vienintelė kompanija, padariusi šią klaidą, tačiau tai, kad yra daugybė kitų pažeidėjų, iš tikrųjų negali būti kaltes lengvinantis veiksnys, ypač kai žinai, kad kūdikių saugumas yra kortelėse. Dano Ehrlicho teigimu, neteisingai sukonfigūruota duomenų bazė yra tik ledkalnio viršūnė.

Jis sakė „Information Security Media Group“, kad „viskas“ apie programą yra „keistai padaryta ir labai nesaugi“. Ehrlichas per daug nesigilino į detales, tačiau mes esame tikri, kad bent jau dalis jo kritikos yra susijusi su tuo, kad pagal nutylėjimą „Peekaboo Moments“ oficiali svetainė (užpildyta prisijungimo forma pagrindiniame puslapyje) įkeliama naudojant HTTP, o ne HTTPS.

Kalbant apie programos svetainę, jei pateksite į ją, rasite pranešimą apie duomenų nutekėjimą, kurį parašė Jasonas Liu, „Peekaboo Moments“ generalinis direktorius. Anot pareiškimo, nutekėjimą sukėlė netinkamai sukonfigūruotas registravimo serveris, kuriame buvo „labai maža dalis“ vartotojų duomenų. Liu atsiprašė už pažeidimą, pažadėjo, kad nuo šiol jo įmonė bandys daryti geriau, ir bandė įtikinti visus, kad išskyrus Ehrlichą ir Kirką, jokie pašaliniai žmonės neturi galimybės naudotis duomenų baze. Matyt, nuorodos į vaikų nuotraukas ir vaizdo įrašus nebeveikia, nes „Bithouse“ užtikrino nesandarių duomenų bazės saugojimą „netrukus“ po to, kai gavo pirmąjį pranešimą.

Jeremy Kirko įvykių versija šiek tiek skiriasi. Informacijos apsaugos žiniasklaidos grupės pranešime sakoma, kad keli bandymai susisiekti su Jasonu Liu ir jo įmone baigėsi nesėkmingai. Anot Kirko, tik praėjus kelioms valandoms po to, kai istorija pasklido, „Bithouse“ pateikė el. Laišką, kuriame teigė, kad serveris yra saugus.

Kad ir kaip būtų, „Peekaboo Moments“ duomenų nutekėjimas gali būti įrodymas, kad kibernetinio saugumo incidentai gali paveikti net pačius nekalčiausius ir pažeidžiamiausius mūsų visuomenės narius. Turėtumėte nepamiršti šio konkretaus pažeidimo, kai kitą kartą jums kyla klausimas, kurią programą turėtumėte naudoti norėdami bendrinti savo vaiko nuotraukas.