Naruszenie danych w Peekaboo Moments ujawnia zdjęcia i filmy dla niemowląt

Kiedy specjaliści od bezpieczeństwa mówią ci, że każdy może paść ofiarą naruszenia bezpieczeństwa danych, nie przesadzają z nadzieją, że wprowadzą wszystkich w niepotrzebną panikę. Dan Ehrlich z firmy doradczej ds. Bezpieczeństwa o nazwie Twelve Security niedawno odkrył dość dużą bazę danych, która pokazała, że nie musisz nawet wiedzieć, jak korzystać z urządzenia elektronicznego, aby zagrażać twojej prywatności.

Ta baza danych była hostowana na serwerach należących do Alibaba Cloud i zawierała około 100 GB informacji zebranych między marcem 2019 r. A styczniem 2020 r. Było wiele powodów do zmartwień, ale Ehrlich był szczególnie zaniepokojony, gdy znalazł linki prowadzące do coś, co wyglądało jak zdjęcia i filmy niemowląt. Po krótkim dochodzeniu zdał sobie sprawę, że dane przeciekają z Peekaboo Moments - aplikacji mobilnej, która pomaga rodzicom śledzić rozwój swoich dzieci.

Peekaboo Moments ujawnia mnóstwo danych osobowych

Ehrlich skontaktował się z Jeremy Kirk z Information Security Media Group, który próbował pomóc w odpowiedzialnym ujawnieniu incydentu. Obaj przeszukali odsłoniętą bazę danych i dowiedzieli się, że zawiera ona ponad 70 milionów plików dziennika, które oprócz linków do zdjęć i filmów zawierają wszelkiego rodzaju dane osobowe, które należały zarówno do rodziców, jak i niemowląt. W danych znaleziono adresy e-mail powiązane z „co najmniej” 800 tysiącami kont Peekaboo Moments, podobnie jak klucze API, które pozwalają użytkownikom połączyć aplikację z ich profilami na Facebooku. Uzbrojony w te informacje haker mógł uzyskać dostęp do informacji udostępnionych w sieci społecznościowej Marka Zuckerberga, a atak był jeszcze łatwiejszy, ponieważ Peekaboo Moments ujawniło niektóre własne klucze API.

Dzienniki zawierały również statystyki użytkowania i niepokojącą ilość informacji związanych z dziećmi na całym świecie. Oprócz zdjęć i filmów w bazie danych ujawniono daty urodzenia noworodków, a także informacje o ich wadze i wzroście. Wyciekły również dane GPS, które pozwoliłyby napastnikom ustalić dokładną lokalizację dzieci.

Jak Peekaboo Moments skończyło się w tym bałaganie?

Jeśli przeczytasz materiały marketingowe na stronie Google Play firmy Peekaboo Moments, będziesz miał wrażenie, że Bithouse, Inc., twórca aplikacji, jest w pełni świadomy tego, jak ważne jest zachowanie poufności danych użytkowników. Fakty sugerują jednak inaczej.

Wyciekły informacje zostały umieszczone na niechronionym serwerze Elasticsearch, który był dostępny dla każdego, kto ma przeglądarkę i połączenie internetowe. Bithouse jest daleka od jedynej firmy, która popełniła ten błąd, ale fakt, że jest wielu innych przestępców, nie może tak naprawdę służyć jako czynnik łagodzący winę, szczególnie gdy wiesz, że bezpieczeństwo niemowląt jest na kartach. Według Dana Ehrlicha źle skonfigurowana baza danych to tylko wierzchołek góry lodowej.

Powiedział Information Security Media Group, że „wszystko” w aplikacji jest „dziwnie zrobione i rażąco niepewne”. Ehrlich nie wdał się w zbyt wiele szczegółów, ale jesteśmy prawie pewni, że przynajmniej część jego krytyki ma coś wspólnego z tym, że domyślnie ładuje się oficjalna strona Peekaboo Moments (wraz z formularzem logowania na stronie głównej) pod HTTP zamiast HTTPS.

Mówiąc o stronie internetowej aplikacji, jeśli tam wejdziesz, znajdziesz ogłoszenie dotyczące wycieku danych napisane przez Jasona Liu, CEO Peekaboo Moments. Zgodnie z oświadczeniem wyciek został spowodowany przez źle skonfigurowany serwer rejestrujący, który przechowywał „bardzo małą część” danych użytkowników. Liu przeprosił za naruszenie, obiecał, że jego firma będzie odtąd starać się lepiej, i próbował przekonać wszystkich, że oprócz Ehrlicha i Kirka żadna osoba z zewnątrz nie uzyskała dostępu do bazy danych. Najwyraźniej linki do zdjęć i filmów dla dzieci nie są już aktywne, ponieważ Bithouse zabezpieczyła nieszczelną bazę danych „wkrótce” po otrzymaniu pierwszego raportu.

Wersja wydarzeń Jeremy'ego Kirka jest nieco inna. Raport Security Media Media Group mówi, że wiele prób nawiązania kontaktu z Jasonem Liu i jego firmą zakończyło się niepowodzeniem. Według Kirka, dopiero kilka godzin po tym, jak historia wyszła, Bithouse zwrócił e-mail z informacją, że serwer jest bezpieczny.

W każdym razie wyciek danych Peekaboo Moments może służyć jako dowód, że incydenty związane z cyberbezpieczeństwem mogą dotknąć nawet najbardziej niewinnych i wrażliwych członków naszego społeczeństwa. O tym szczególnym naruszeniu należy pamiętać, gdy następnym razem zastanawiasz się, której aplikacji powinieneś udostępnić, aby udostępnić zdjęcia swojego dziecka.