Kinomap er den siste appen som lekker informasjon på grunn av fryktelig databaseadministrasjon

Det er ikke lett å leve gjennom coronavirus-pandemien og den nedbrytningen den har påtvunget oss, men alle som føler seg fristet til å begynne å klage over den, burde ikke glemme at det kunne ha vært mye verre. Takket være teknologi kan mange ting som tidligere krevde å gå ut, gjøres fra komforten i våre egne hjem. Apper som Kinomap kan til og med hjelpe oss med å holde oss i form uten å forlate huset, noe som er spesielt viktig gitt dagens situasjon.

Dessverre fører den ekstra bekvemmeligheten til sitt eget sett med problemer. Cybersecurity er en av dem, og det triste faktum er at vi ikke tenker så mye på det. Forskere fra vpnMentor viste oss hvorfor vi burde prøve å være mer oppmerksom på det.

Kinomap la over 42 millioner poster i en ubeskyttet database

Under ledelse av Noam Rotem og Ran Locar kom vpnMentors forskerteam med et nettkartleggingsprosjekt som skanner blokker med IP-adresser og finner tilkoblede enheter som ikke er konfigurert riktig. Forskningen har pågått en stund nå, og den har resultert i oppdagelse og sanering av ganske mange datalekkasjer. Den nevnte Kinomap er den siste applikasjonen for å falle i forskernes syn.

Forrige måned oppdaget de en 40 GB-database som ikke var beskyttet av passord. Et raskt blikk la forskerne vite at de ser på informasjon samlet inn av Kinomap, og etter en nærmere inspeksjon innså de at den inneholdt personopplysningene til rundt 42 millioner brukere.

Selv om de ikke kan være sikre, regner vpnMentors eksperter at dette kan være Kinomaps hele brukerbase. De berørte personene er spredt over hele verden, og de må være ekstra forsiktige fordi deres hjemme-treningsapp utsatte ganske mye informasjon om dem. Blant de lekkede detaljene fant forskerne:

• navnene
• Kinomap brukernavn
• E-post adresse
• Hjemland

Postene inkluderte også telemetriinformasjon om hvordan appen ble brukt, samt lenker til enkeltpersoner. Dette, sammen med dataene over, kan gi hackere sjansen til å organisere et sofistikert phishing-angrep.

I noen av postene fant ekspertene API-nøkler, som ville tillate angripere å overta hele kontoer.

Kinomaps utviklere er neppe de første menneskene som feilkonfigurerer en Internett-tilkoblet database, og de vil sannsynligvis ikke være den siste. I slike tilfeller er det viktig å se at tjenesteleverandører og programvareleverandører eier opp til sine feil og prøve å lære av dem. De ansvarlige for Kinomap har imidlertid tatt en annen tilnærming.

Kinomap foretrekker å ikke kommentere den feilkonfigurerte databasen

vpnMentors eksperter oppdaget først Kinomaps feilkonfigurerte database 16. mars, og et par dager senere prøvde de å komme i kontakt med utvikleren. Etter å ha hørt ingenting i knappe to uker, gjorde de et nytt forsøk på å avsløre lekkasjen 30. mars. Forskerne ønsket å være sikre på at noen vil løse problemet, og det er grunnen til at de også informerte Commission nationale de l'informatique et des libertés ( CNIL), en personvernregulator i Frankrike, landet der Kinomaps utviklere er lokalisert. 12. april ble databasen endelig trukket ned, og forskerne tror at dette sannsynligvis skyldes CNILs engasjement.

Da Sophos 'Lisa Vaas kom i kontakt med Kinomap, reagerte endelig appens utviklere. Selskapet sa at det løste sårbarheten "umiddelbart" etter å ha blitt varslet om det, som, som du kan se, står i sterk kontrast til det sikkerhetsekspertene rapporterte. Institusjonene som håndhever EUs generelle databeskyttelsesforordning (GDPR) bør avgjøre om Kinomaps skaperes reaksjon var tilstrekkelig.