Kinomap to najnowsza aplikacja do wyciekania informacji z powodu strasznego zarządzania bazą danych

Przeżycie pandemii koronawirusa i blokady, którą na nas narzucił, nie jest łatwe, ale każdy, kto ma ochotę zacząć narzekać na to, nie powinien zapominać, że mogło być znacznie gorzej. Dzięki technologii wiele rzeczy, które wcześniej wymagały wyjścia, można teraz zrobić w zaciszu własnego domu. Aplikacje takie jak Kinomap mogą nawet pomóc nam utrzymać formę bez wychodzenia z domu, co jest szczególnie ważne w obecnej sytuacji.

Niestety dodatkowa wygoda rodzi własny zestaw problemów. Cyberbezpieczeństwo jest jednym z nich, a smutnym faktem jest to, że nie myślimy o tym zbyt wiele. Badacze z vpnMentor pokazali nam, dlaczego powinniśmy zwracać na to większą uwagę.

Kinomap pozostawił ponad 42 miliony rekordów w niezabezpieczonej bazie danych

Zespół badawczy vpnMentor, prowadzony przez Noama Rotema i Ran Locara, opracował projekt mapowania sieci, który skanuje bloki adresów IP i znajduje niepoprawnie skonfigurowane podłączone urządzenia. Badania trwają już od dłuższego czasu, a ich rezultatem było wykrycie i usunięcie wielu wycieków danych. Wspomniana Kinomap to najnowsza aplikacja, która wpadnie w oko badaczy.

W zeszłym miesiącu odkryli bazę danych o pojemności 40 GB, która nie była chroniona hasłem. Szybkie spojrzenie poinformowało badaczy, że przeglądają informacje zebrane przez Kinomap, a po dokładniejszej inspekcji okazało się, że zawierają one dane osobowe około 42 milionów użytkowników.

Chociaż nie są pewni, eksperci vpnMentor uważają, że może to być cała baza użytkowników Kinomap. Poszkodowane osoby rozprzestrzeniają się na całym świecie i muszą być bardzo ostrożne, ponieważ ich aplikacja do treningu w domu ujawniła sporo informacji na ich temat. Wśród ujawnionych szczegółów naukowcy odkryli:

• Nazwy
• Nazwy użytkowników Kinomap
• Adresy e-mail
• Kraje macierzyste

Zapisy zawierały również dane telemetryczne dotyczące sposobu korzystania z aplikacji, a także łącza do indywidualnych kont. To, w połączeniu z powyższymi danymi, może dać hakerom szansę na zorganizowanie wyrafinowanego ataku phishingowego.

W niektórych aktach eksperci znaleźli klucze API, które pozwoliłyby atakującym przejąć całe konta.

Programiści Kinomap nie są pierwszymi ludźmi, którzy źle skonfigurowali bazę danych podłączoną do Internetu i prawdopodobnie nie będą ostatnimi. W takich przypadkach ważne jest, aby dostawcy usług i dostawcy oprogramowania przyznali się do swoich błędów i starali się uczyć od nich. Ludzie odpowiedzialni za Kinomap przyjęli jednak inne podejście.

Kinomap woli nie komentować źle skonfigurowanej bazy danych

Eksperci vpnMentor po raz pierwszy odkryli źle skonfigurowaną bazę danych Kinomap 16 marca, a kilka dni później próbowali skontaktować się z deweloperem. Nie słysząc nic przez niecałe dwa tygodnie, podjęli kolejną próbę ujawnienia wycieku w dniu 30 marca. Naukowcy chcieli mieć pewność, że ktoś naprawi problem, dlatego poinformowali również Komisję nationale de l'informatique et des libertés ( CNIL), regulatora prywatności we Francji, kraju, w którym znajdują się programiści Kinomap. 12 kwietnia baza danych została ostatecznie usunięta, a naukowcy uważają, że jest to prawdopodobnie spowodowane udziałem CNIL.

Kiedy Lisa Vaas Sophos skontaktowała się z Kinomap, twórcy aplikacji w końcu odpowiedzieli. Firma stwierdziła, że naprawiła lukę „natychmiast” po otrzymaniu powiadomienia o tym, co, jak widać, wyraźnie kontrastuje z tym, co zgłosili eksperci ds. Bezpieczeństwa. Instytucje wdrażające ogólne unijne rozporządzenie o ochronie danych (RODO) powinny zdecydować, czy reakcja twórców Kinomap była odpowiednia.