Kinomap is de nieuwste app om informatie te lekken vanwege verschrikkelijk databasebeheer
Het leven door de pandemie van het coronavirus en de afsluiting die het ons heeft opgedrongen, is niet eenvoudig, maar iedereen die in de verleiding komt om erover te klagen, mag niet vergeten dat het veel erger had kunnen zijn. Dankzij technologie kunnen veel dingen die voorheen nodig waren om uit te gaan, nu vanuit het comfort van ons eigen huis worden gedaan. Apps zoals Kinomap kunnen ons zelfs helpen om in vorm te blijven zonder het huis te verlaten, wat vooral belangrijk is gezien de huidige situatie.
Helaas brengt het extra gemak zijn eigen reeks problemen met zich mee. Cybersecurity is daar een van en het trieste feit is dat we er niet zoveel over nadenken. Onderzoekers van vpnMentor lieten ons zien waarom we er meer aandacht aan zouden moeten besteden.
Kinomap heeft meer dan 42 miljoen records achtergelaten in een onbeschermde database
Onder leiding van Noam Rotem en Ran Locar heeft het onderzoeksteam van vpnMentor een webmappingproject bedacht dat blokken IP-adressen scant en verbonden apparaten vindt die niet correct zijn geconfigureerd. Het onderzoek is al een tijdje aan de gang en heeft geresulteerd in het ontdekken en herstellen van nogal wat datalekken. De eerder genoemde Kinomap is de nieuwste applicatie die in het vizier van de onderzoekers valt.
Vorige maand ontdekten ze een database van 40 GB die niet was beveiligd met een wachtwoord. Een snelle blik liet de onderzoekers weten dat ze naar door Kinomap verzamelde informatie kijken, en na een nadere inspectie beseften ze dat deze de persoonlijke informatie van ongeveer 42 miljoen gebruikers bevatte.
Hoewel ze het niet zeker weten, denken de experts van vpnMentor dat dit misschien de hele gebruikersbasis van Kinomap is. De getroffen personen zijn over de hele wereld verspreid en ze moeten extra voorzichtig zijn omdat hun hometraining-app behoorlijk wat informatie over hen heeft onthuld. Onder de gelekte details vonden de onderzoekers:
- Namen
- Kinomap-gebruikersnamen
- E-mailadressen
- Thuislanden
De records bevatten ook telemetrie-informatie over het gebruik van de app en links naar individuele accounts. Dit, in combinatie met de bovenstaande gegevens, kan hackers de kans geven om een geavanceerde phishing-aanval te organiseren.
In sommige records vonden de experts API-sleutels waarmee aanvallers hele accounts konden overnemen.
De ontwikkelaars van Kinomap zijn niet de eerste mensen die een met internet verbonden database verkeerd hebben geconfigureerd, en ze zullen waarschijnlijk niet de laatste zijn. In dergelijke gevallen is het belangrijk om te zien dat serviceproviders en softwareleveranciers hun fouten erkennen en van hen proberen te leren. De leidinggevenden van Kinomap hebben het echter anders aangepakt.
Kinomap geeft er de voorkeur aan geen commentaar te geven op de verkeerd geconfigureerde database
De experts van vpnMentor ontdekten op 16 maart voor het eerst de verkeerd geconfigureerde database van Kinomap en een paar dagen later probeerden ze contact op te nemen met de ontwikkelaar. Nadat ze iets minder dan twee weken niets hadden gehoord, deden ze opnieuw een poging om het lek op 30 maart te onthullen. De onderzoekers wilden er zeker van zijn dat iemand het probleem zou oplossen, en daarom informeerden ze ook Commission nationale de l'informatique et des libertés ( CNIL), een privacyregulator in Frankrijk, het land waar de ontwikkelaars van Kinomap zijn gevestigd. Op 12 april werd de database definitief verwijderd en de onderzoekers denken dat dit waarschijnlijk komt door de betrokkenheid van CNIL.
Toen Lisa Vaas van Sophos in contact kwam met Kinomap, reageerden de ontwikkelaars van de app uiteindelijk. Het bedrijf zei dat het de kwetsbaarheid 'onmiddellijk' heeft verholpen nadat hij hierover was geïnformeerd, wat, zoals u kunt zien, in schril contrast staat met wat de beveiligingsexperts rapporteerden. De instellingen die de algemene verordening gegevensbescherming (AVG) van de EU handhaven, moeten beslissen of de reactie van de makers van Kinomap adequaat was.
