Et Peekaboo øyeblikk dataovertredelse viser fotografier og videoer fra babyer

Peekaboo Moments Data Leak

Når sikkerhetsspesialister forteller deg at hvem som helst kan bli offer for et datainnbrudd, overdriver de ikke med håp om å sette alle i en tilstand av unødvendig panikk. Dan Ehrlich fra et sikkerhetskonsulentselskap kalt Twelve Security oppdaget nylig en ganske stor database, som viste at du ikke engang trenger å vite hvordan du bruker en elektronisk enhet for å ha ditt personvern.

Den aktuelle databasen ble hostet på servere som er eid av Alibaba Cloud, og den inneholdt omtrent 100 GB informasjon samlet inn mellom mars 2019 og januar 2020. Det var ganske mye å være bekymret for, men Ehrlich var spesielt bekymret da han fant lenker som førte til hvordan så ut bilder og videoer av babyer. Etter en kort etterforskning innså han at dataene lekker fra Peekaboo Moments - en mobilapp som hjelper foreldre å holde oversikt over barnas vekst.

Peekaboo Moments avslører mange personopplysninger

Ehrlich kom i kontakt med Information Security Media Groups Jeremy Kirk, som prøvde å hjelpe til med ansvarlig avsløring av hendelsen. De to stakk gjennom den eksponerte databasen og fant ut at den inneholdt over 70 millioner loggfiler, som i tillegg til lenker til bilder og videoer inneholdt alle slags personopplysninger som tilhørte både foreldre og spedbarn. E-postadressene tilknyttet "minst" 800 000 Peekaboo Moments-kontoer ble funnet i dataene, og det samme var API-nøklene som lar brukere koble appen til Facebook-profilene sine. Bevæpnet med denne informasjonen, kunne en hacker få tilgang til informasjon som ble delt på Mark Zuckerbergs sosiale nettverk, og angrepet ble gjort enda enklere fordi Peekaboo Moments utsatte noen av sine egne API-nøkler.

Loggene inneholdt også bruksstatistikk og en bekymringsfull mengde informasjon relatert til babyer over hele verden. I tillegg til bilder og videoer, lekket databasen de nyfødte fødselsdatoene samt informasjon om deres vekt og høyde. GPS-data ble også lekket, noe som ville gjort det mulig for angripere å finne barns presise beliggenhet.

Hvordan havnet Peekaboo Moments i dette rotet?

Hvis du leser gjennom markedsføringsmaterialet på Peekaboo Moments ' Google Play-side, vil du sitte igjen med inntrykk av at Bithouse, Inc., appens utvikler, er fullstendig klar over hvor viktig det er å holde brukernes data private. Fakta antyder imidlertid noe annet.

Informasjon som ble lekket ble lagt på en ubeskyttet Elasticsearch-server som var tilgjengelig for alle med nettleser og internettforbindelse. Bithouse er langt fra det eneste selskapet som har gjort denne feilen, men det faktum at det er mange andre lovbrytere, kan ikke virkelig tjene som en skylddempende faktor, spesielt når du vet at sikkerheten til spedbarn er på kortene. I følge Dan Ehrlich er den feilkonfigurerte databasen bare toppen av isfjellet.

Han fortalte Information Security Media Group at "alt" om appen er "bisarr gjort og grovt usikker." Ehrlich ga ikke for mange detaljer, men vi er ganske sikre på at i det minste noe av kritikken hans har noe å gjøre med det faktum at Peekaboo Moments offisielle nettsted (komplett med et påloggingsskjema på hjemmesiden) som standard laster inn under HTTP i stedet for HTTPS.

Hvis du snakker om appens nettsted, vil du finne en kunngjøring om datalekkasjen skrevet av Jason Liu, Peekaboo Moments 'administrerende direktør, hvis du går til den. I følge uttalelsen var lekkasjen forårsaket av en feilkonfigurert loggeserver som inneholdt "en veldig liten del" av brukernes data. Liu ba om unnskyldning for bruddet, lovte at selskapet hans vil prøve å gjøre det bedre fra nå av og prøvde å overbevise alle om at utenom Ehrlich og Kirk, har ingen utenforstående tilgang til databasen. Tilsynelatende er koblingene til barnas bilder og videoer ikke lenger aktive fordi Bithouse sikret den utette databasen "kort tid" etter at den mottok den første rapporten.

Jeremy Kirks versjon av hendelser er litt annerledes. Rapporten om informasjonssikkerhet Media Group sier at flere forsøk på å komme i kontakt med Jason Liu og hans selskap endte mislykket. I følge Kirk var det først flere timer etter at historien gikk ut at Bithouse returnerte en e-post for å si at serveren er sikker.

Uansett, Peekaboo Moments 'datalekkasje kan tjene som bevis på at hendelser i cybersikkerhet kan påvirke selv de mest uskyldige og sårbare medlemmene i samfunnet vårt. Dette spesielle bruddet må du sannsynligvis huske neste gang du lurer på hvilken app du skal bruke for å dele bilder av barnet ditt.

January 22, 2020
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.