Kinomap är den senaste appen som läcker information på grund av hemsk databashantering

Att leva genom coronavirus-pandemin och den låsning den har tvingat oss är inte lätt, men alla som känner sig frestad att börja klaga på det borde inte glömma att det kunde ha varit mycket värre. Tack vare tekniken kan många saker som tidigare krävde gå ut göras från våra egna hem. Appar som Kinomap kan till och med hjälpa oss att hålla oss i form utan att lämna huset, vilket är särskilt viktigt med tanke på den nuvarande situationen.

Tyvärr medför den extra bekvämligheten sin egen uppsättning problem. Cybersäkerhet är en av dem, och det sorgliga faktum är att vi inte tycker så mycket om det. Forskare från vpnMentor visade oss varför vi bör försöka ägna mer uppmärksamhet åt det.

Kinomap lämnade över 42 miljoner poster i en oskyddad databas

Ledd av Noam Rotem och Ran Locar kom vpnMentors forskargrupp med ett webbkartläggningsprojekt som skannar block med IP-adresser och hittar anslutna enheter som inte är konfigurerade korrekt. Forskningen har pågått ett tag nu och det har resulterat i upptäckten och sanering av en hel del dataläckage. Den ovannämnda Kinomap är den senaste applikationen som faller inom forskarnas syn.

Förra månaden upptäckte de en 40 GB databas som inte var skyddad med ett lösenord. Snabbt sett fick forskarna veta att de tittar på information som samlas in av Kinomap, och efter en närmare granskning insåg de att den innehöll den personliga informationen från cirka 42 miljoner användare.

Även om de inte kan vara säkra, anser vpnMentors experter att detta kan vara Kinomaps hela användarbas. De drabbade individerna är spridda över hela världen och de måste vara extra försiktiga eftersom deras app för hemträning utsatte en hel del information om dem. Bland de läckta detaljerna fann forskarna:

• namn
• Kinomap användarnamn
• Mejladresser
• Hemländer

Posterna inkluderade också telemetriinformation om hur appen användes samt länkar till enskilda konton. Detta tillsammans med uppgifterna ovan kan ge hackare chansen att organisera en sofistikerad phishingattack.

I några av dokumenten hittade experterna API-nycklar, vilket skulle göra det möjligt för angripare att ta över hela konton.

Kinomaps utvecklare är knappast de första som felkonfigurerar en internetansluten databas, och de kommer sannolikt inte att vara den sista. I sådana fall är det viktigt att tjänsteleverantörer och mjukvaruleverantörer äger upp till sina misstag och försöker lära av dem. De ansvariga för Kinomap har emellertid tagit ett annat synsätt.

Kinomap föredrar att inte kommentera den felkonfigurerade databasen

vpnMentors experter upptäckte först Kinomaps felkonfigurerade databas den 16 mars, och ett par dagar senare försökte de komma i kontakt med utvecklaren. Efter att ha hört någonting i knappt två veckor gjorde de ytterligare ett försök att avslöja läckan den 30 mars. Forskarna ville vara säkra på att någon kommer att lösa problemet, varför de också informerade kommissionen nationale de l'informatique et des libertés ( CNIL), en sekretessreglerare i Frankrike, landet där Kinomaps utvecklare är belägna. Den 12 april drogs databasen slutligen ned, och forskarna tror att detta troligen beror på CNIL: s engagemang.

När Sophos Lisa Vaas kom i kontakt med Kinomap, svarade appens utvecklare äntligen. Företaget sa att det fixade sårbarheten "omedelbart" efter att ha fått meddelande om det, vilket, som ni ser, står i skarp kontrast till vad säkerhetsexperterna rapporterade. Institutionerna som verkställer EU: s allmänna dataskyddsförordning (GDPR) bör besluta om Kinomaps skapares reaktion var tillräcklig.