Kinomap - последнее приложение для утечки информации из-за ужасного управления базами данных

Жить в условиях пандемии коронавируса и навязанных нам мер по борьбе с ней нелегко, но каждый, кто испытывает искушение начать жаловаться на него, не должен забывать, что это могло быть намного хуже. Благодаря технологиям многие вещи, которые раньше требовали выхода, теперь можно сделать, не выходя из собственного дома. Такие приложения, как Kinomap, могут даже помочь нам оставаться в форме, не выходя из дома, что особенно важно, учитывая текущую ситуацию.

К сожалению, дополнительное удобство вызывает свои проблемы. Кибербезопасность является одним из них, и печальный факт в том, что мы не слишком много думаем об этом. Исследователи из vpnMentor показали нам, почему мы должны стараться уделять этому больше внимания.

Kinomap оставил более 42 миллионов записей в незащищенной базе данных

Исследовательская группа vpnMentor, возглавляемая Ноамом Ротемом и Ран Локаром, разработала проект веб-картографирования, который сканирует блоки IP-адресов и находит подключенные устройства, которые не настроены должным образом. Исследование продолжается уже некоторое время, и оно привело к обнаружению и устранению многих утечек данных. Упомянутая выше Kinomap является новейшим приложением, попавшим в поле зрения исследователей.

В прошлом месяце они обнаружили базу данных объемом 40 ГБ, которая не была защищена паролем. Быстрый взгляд позволил исследователям узнать, что они смотрят на информацию, собранную Kinomap, и после более тщательного изучения они поняли, что она содержит личную информацию около 42 миллионов пользователей.

Хотя они не могут быть уверены, эксперты vpnMentor считают, что это может быть вся база пользователей Kinomap. Пострадавшие люди разбросаны по всему миру, и им нужно быть особенно осторожными, потому что их приложение для домашней тренировки раскрыло довольно много информации о них. Среди обнаруженных деталей исследователи обнаружили:

• имена
• Имена пользователей Kinomap
• Адрес электронной почты
• Страны происхождения

Записи также включали телеметрическую информацию о том, как приложение использовалось, а также ссылки на отдельные учетные записи. Это, в сочетании с данными выше, может дать хакерам возможность организовать сложную фишинговую атаку.

В некоторых записях эксперты нашли ключи API, которые позволили бы злоумышленникам захватить целые учетные записи.

Разработчики Kinomap вряд ли будут первыми, кто неправильно настроит подключенную к Интернету базу данных, и они, вероятно, не будут последними. В таких случаях важно, чтобы поставщики услуг и поставщики программного обеспечения признавали свои ошибки и пытались учиться на них. Однако люди, отвечающие за Kinomap, выбрали другой подход.

Kinomap предпочитает не комментировать неверно настроенную базу данных

Эксперты vpnMentor впервые обнаружили неверно сконфигурированную базу данных Kinomap 16 марта, а через пару дней они попытались связаться с разработчиком. Не услышав ничего менее двух недель, они предприняли еще одну попытку раскрыть утечку 30 марта. Исследователи хотели быть уверенными, что кто-то решит проблему, поэтому они также сообщили об этом Национальной комиссии по информации и исследованиям ( CNIL), регулятор конфиденциальности во Франции, стране, где находятся разработчики Kinomap. 12 апреля база данных была окончательно свернута, и исследователи считают, что это, вероятно, связано с участием CNIL.

Когда Лиза Ваас из Sophos связалась с Kinomap, разработчики приложения наконец-то отреагировали. Компания заявила, что исправила уязвимость «сразу» после получения уведомления о ней, что, как вы можете видеть, резко контрастирует с тем, что сообщили эксперты по безопасности. Учреждения, обеспечивающие соблюдение Общего регламента защиты данных ЕС (GDPR), должны решить, была ли реакция создателей Kinomap адекватной.