En dataöverträdelse från Peekaboo Moments avslöjar babyfoton och videor

När säkerhetsspecialister säger att vem som helst kan bli offer för ett dataintrång, överdriver de inte med hopp om att sätta alla i ett tillstånd av onödig panik. Dan Ehrlich från ett säkerhetskonsultföretag som heter Twelve Security upptäckte nyligen en ganska stor databas, som visade att du inte ens behöver veta hur du använder en elektronisk enhet för att din integritet ska äventyras.

Databasen i fråga var värd på servrar som ägs av Alibaba Cloud och den innehöll cirka 100 GB information som samlades in mellan mars 2019 och januari 2020. Det var ganska mycket att oroa sig för, men Ehrlich var särskilt orolig när han hittade länkar som ledde till vad såg ut som foton och videor av bebisar Efter en kort undersökning insåg han att uppgifterna läckte från Peekaboo Moments - en mobilapp som hjälper föräldrar att hålla reda på deras barns tillväxt.

Peekaboo Moments avslöjar massor av personuppgifter

Ehrlich kontaktade Jeremy Kirk, Information Security Media Group, som försökte hjälpa till med ansvarsfull avslöjande av händelsen. De två gick igenom den exponerade databasen och fick reda på att den innehöll över 70 miljoner loggfiler, som förutom länkar till foton och videor, innehöll alla typer av personlig information som tillhörde både föräldrar och spädbarn. E-postadresserna associerade med "minst" 800 tusen Peekaboo Moments-konton hittades i data, och det var också API-nycklarna som låter användare ansluta appen till sina Facebook-profiler. Beväpnad med denna information kunde en hackare få tillgång till information som delades på Mark Zuckerbergs sociala nätverk, och attacken blev ännu lättare eftersom Peekaboo Moments avslöjade några av sina egna API-nycklar.

Loggarna innehöll också användningsstatistik och en oroväckande mängd information relaterad till barn över hela världen. Förutom foton och videor läckte databasen de nyfödda födelsedatumna samt information om deras vikt och höjd. GPS-data läcktes också, vilket skulle ha gjort det möjligt för angripare att fastställa barns exakta plats.

Hur hamnade Peekaboo Moments i det här röran?

Om du läser igenom marknadsföringsmaterialet på Peekaboo Moments ' Google Play-sida kommer du att sitta med intrycket att Bithouse, Inc., appens utvecklare, är helt medveten om hur viktigt det är att hålla användarnas data privata. Fakta tyder dock på annat.

Den läckta informationen placerades på en oskyddad Elasticsearch-server som var tillgänglig för alla med en webbläsare och en internetanslutning. Bithouse är långt ifrån det enda företaget som har gjort detta misstag, men det faktum att det finns många andra brottslingar kan inte verkligen tjäna som en skyltdämpande faktor, särskilt när du vet att spädbarns säkerhet finns på korten. Enligt Dan Ehrlich är den felkonfigurerade databasen bara toppen av isberget.

Han berättade för Information Security Media Group att "allt" om appen är "bisarrt gjort och grovt osäkert." Ehrlich gick inte in för många detaljer, men vi är ganska säkra på att åtminstone en del av hans kritik har något att göra med det faktum att Peekaboo Moments officiella webbplats (komplett med ett inloggningsformulär på hemsidan) som standard laddar under HTTP snarare än HTTPS.

Om du talar om appens webbplats, om du går till den, hittar du ett meddelande om dataläckan skriven av Jason Liu, Peekaboo Moments vd. Enligt uttalandet orsakades läckan av en felkonfigurerad loggningsserver som innehöll "en mycket liten del" av användarnas data. Liu bad om ursäkt för brottet, lovade att hans företag kommer att försöka göra bättre från och med nu och försökte övertyga alla om att bortsett från Ehrlich och Kirk har inga personer utanför åtkomst till databasen. Uppenbarligen är länkarna till barnfoton och videor inte längre aktiva eftersom Bithouse säkrade den läckande databasen "strax" efter att den fick den första rapporten.

Jeremy Kirks version av händelser är lite annorlunda. Information Group Media Groups rapport säger att flera försök att komma i kontakt med Jason Liu och hans företag slutade misslyckades. Enligt Kirk var det inte förrän flera timmar efter att berättelsen slutade att Bithouse returnerade ett e-postmeddelande för att säga att servern är säker.

Hur som helst, Peekaboo Moments dataläckage kan tjäna som bevis på att händelser i cybersäkerhet kan påverka även de mest oskyldiga och sårbara medlemmarna i vårt samhälle. Det här brottet bör förmodligen komma ihåg nästa gång du undrar vilken app du ska använda för att dela foton av ditt barn.