Нарушение данных Peekaboo Moments представляет детские фото и видео

Когда специалисты по безопасности говорят вам, что любой может стать жертвой взлома данных, они не преувеличивают, надеясь привести всех в состояние ненужной паники. Дэн Эрлих (Dan Ehrlich) из консалтинговой компании по безопасности под названием Twelve Security недавно обнаружил довольно большую базу данных, которая показала, что вам даже не нужно знать, как использовать электронное устройство, чтобы поставить под угрозу вашу конфиденциальность.

Данная база данных размещалась на серверах, принадлежащих Alibaba Cloud, и содержала около 100 ГБ информации, собранной в период с марта 2019 года по январь 2020 года. Было много поводов для беспокойства, но Эрлих был особенно обеспокоен, когда нашел ссылки, которые привели к что выглядело как фото и видео детей. После короткого расследования он понял, что данные просачиваются из Peekaboo Moments - мобильного приложения, которое помогает родителям отслеживать рост своих детей.

Peekaboo Moments раскрывает массу личных данных

Эрлих связался с Джереми Кирком из Media Security Group, который попытался помочь с ответственным раскрытием инцидента. Они просмотрели открытую базу данных и обнаружили, что в ней содержится более 70 миллионов файлов журналов, в которых, помимо ссылок на фотографии и видео, хранятся всевозможные личные данные, принадлежащие как родителям, так и детям. В данных были обнаружены адреса электронной почты, связанные с «не менее» 800 тысячами учетных записей Peekaboo Moments, а также ключи API, позволяющие пользователям подключать приложение к своим профилям Facebook. Вооружившись этой информацией, хакер мог получить доступ к информации, которой поделились в социальной сети Марка Цукерберга, и атака стала еще проще, поскольку Peekaboo Moments раскрыл некоторые из своих собственных ключей API.

Журналы также содержали статистику использования и тревожную информацию о детях по всему миру. В дополнение к фотографиям и видео, в базе данных просочились даты рождения новорожденных, а также информация об их весе и росте. Также были пропущены данные GPS, которые позволили бы злоумышленникам точно определить точное местоположение детей.

Как Моменты Пикабу оказались в этом беспорядке?

Если вы прочитаете маркетинговый материал на странице Google Play в Peekaboo Moments, у вас останется впечатление, что Bithouse, Inc., разработчик приложения, полностью осознает, насколько важно сохранять конфиденциальность данных пользователей. Однако факты говорят об обратном.

Утечка информации была размещена на незащищенном сервере Elasticsearch, который был доступен любому, у кого был браузер и подключение к интернету. Bithouse - далеко не единственная компания, которая допустила эту ошибку, но тот факт, что есть много других правонарушителей, не может служить фактором смягчения вины, особенно если вы знаете, что безопасность младенцев находится на картах. По словам Дана Эрлиха, неверно сконфигурированная база данных является лишь верхушкой айсберга.

Он сказал Media Security Media Group, что «все» в приложении «причудливо сделано и небезопасно». Эрлих не вдавался в подробности, но мы уверены, что по крайней мере часть его критики связана с тем, что по умолчанию официальный сайт Peekaboo Moments (в комплекте с формой входа на главной странице) загружается под HTTP, а не HTTPS.

Говоря о веб-сайте приложения, если вы зайдете на него, вы найдете объявление об утечке данных, написанное Джейсоном Лю, генеральным директором Peekaboo Moments. Согласно заявлению, утечка была вызвана неправильно настроенным сервером журналирования, который содержал «очень небольшую часть» данных пользователей. Лю извинился за нарушение, пообещал, что его компания будет пытаться добиться большего успеха, и попытался убедить всех, что, кроме Эрлиха и Кирка, никто из посторонних людей не получил доступ к базе данных. По-видимому, ссылки на детские фото и видео больше не активны, потому что Bithouse защитил утечку базы данных «вскоре» после получения первого отчета.

Версия событий Джереми Кирка немного отличается. В отчете Media Security Media Group говорится, что многочисленные попытки связаться с Джейсоном Лю и его компанией закончились неудачей. По словам Кирка, лишь через несколько часов после выхода истории Битхаус вернул электронное письмо, в котором говорилось, что сервер защищен.

Как бы то ни было, утечка данных Peekaboo Moments может служить доказательством того, что инциденты с кибербезопасностью могут затронуть даже самых невинных и уязвимых членов нашего общества. Об этом конкретном нарушении, вероятно, следует помнить в следующий раз, когда вам будет интересно, какое приложение вы должны использовать, чтобы делиться фотографиями вашего ребенка.