Более 1,5 миллиона пользователей службы групповых знакомств раскрыли свои личные данные, в том числе в реальном времени, из-за уязвимости в приложении.
Приложение, 3fun, позиционирует себя как «личное пространство», где вы можете встретить «местных странных, непредубежденных людей». Но данные вовсе не были частными. Кен Мунро, основатель Партнеры Pen Test, который опубликованный Исследование, проведенное в четверг и поделившееся своими результатами с TechCrunch, заявило, что это «вероятно, худшая защита для любого приложения для знакомств, которое мы когда-либо видели».
Исследователи Pen Test Partners обнаружили, что приложение сообщало точное местоположение, фотографии и другие личные данные любого находящегося поблизости пользователя.
Хуже того, поскольку приложение не было должным образом защищено, исследователи обнаружили, что они могут вводить любые координаты, которые они хотели бы подделать, определяя их местоположение, раскрывая конфиденциальную информацию о ком-либо в любом месте по их выбору, включая правительственные здания, военные базы и даже спецслужбы. ,
TechCrunch провел те же тесты, что и Pen Test Partners, и подтвердил свои выводы. Мы смогли изменить нашу текущую геолокацию в соответствии с любым набором координат, который мы хотели – включая Белый дом и ЦРУ.
С помощью инструмента «человек посередине», такого как Burp Suite, мы могли зафиксировать наше реальное местоположение, управлять им при передаче на сервер и получать пакет данных для этого местоположения.
Одна из открытых пользовательских записей (слева) и примерное представление нескольких пользователей (справа).
Мы нашли профили пользователей в обоих местах, включая их сексуальные предпочтения – в том числе сексуальную ориентацию и их предпочтительные совпадения; их возраст; имя пользователя и имя пользователя их партнера; их биография – многие из которых включали в себя обширную, конкретную и личную информацию о пользователе; и их изображение в полном разрешении. В некоторых случаях даты рождения также были выставлены.
Ни одна из данных не была зашифрована. Исследователи назвали приложение «крушение поезда конфиденциальности».
Исследователи связались с 3fun 1 июля, чтобы сообщить об ошибках. Манро сказал, что разработчику приложений потребовались недели, чтобы решить проблемы.
Мы отправили 3fun по электронной почте с несколькими вопросами, но представитель Дженнифер Уайт не ответила на запрос о комментариях.
Это последнее приложение, которое за последние месяцы нарушило надлежащие стандарты безопасности. Еврейское приложение для знакомств JCrush осталось 200 000 записей пользователя в июне после провала в безопасности. В прошлом году в день запуска консервативного приложения для знакомств Donald Daters выставил всю свою базу пользователей – в то время около 1600 пользователей – после того, как набор жестко закодированных ключей был оставлен в его приложении, которое было быстро найдено после того, как исследователь безопасности декомпилировал приложение.
Еще одно приложение для знакомств, Coffee Meets Bagel, было нарушенного в День святого Валентина не меньше.
Ну, это один из способов проникновения в суть человека – взлом его профиля знакомств.
