Более 1,5 миллиона пользователей приложения для поиска секса втроем могли засветить свои данные в следствии утечки
Более 1,5 миллиона пользователей мобильного приложения для поиска секса втроем были подвержены опасности утечки приватных данных, в том числе в реальном времени, из-за уязвимости в приложении 3fun.
Как часто бывает, многие снисходительно относятся к различным уязвимостям в приложениях которые влекут за собой утечку приватных данных их пользователей так, пока однажды не поймут, что порой это сродни катастрофе.
Приложение, 3fun, которое позиционирует себя как «приложение для экспериментирующих пар и поиска партнеров», где вы можете встретить «странных, непредубежденных людей». Разработчики обещали конфиденциальность, но данные, которое оно собирало вовсе не были секретными. Кен Мунро, основатель компании Pen Test Partners, опубликовал исследование в четверг и поделился своими результатами с TechCrunch, заявил, что это «вероятно, худшая защита для любого приложения для знакомств, которое мы когда-либо видели».
Исследователи Pen Test Partners обнаружили, что приложение сообщало точное местоположение, фотографии и другие личные данные любого находящегося поблизости его пользователя.
Хуже того, поскольку приложение не было должным образом защищено, исследователи обнаружили, что они могли вводить любые координаты, которые они хотели бы подделать, указывая их местоположение, включая правительственные здания, военные базы и даже спецслужбы.
Журналисты TechCrunch провел те же тесты, что и Pen Test Partners, и подтвердили эти выводы. Они смогли изменить текущую геолокацию в соответствии с любым набором координат, который они хотели – включая Белый дом и ЦРУ.
Журналистам удалось получить профили пользователей в обоих местах, включая их сексуальные предпочтения – в том числе сексуальную ориентацию и их предпочтительные совпадения; их возраст; имя пользователя и имя пользователя их партнера; их историю встреч – многие другие данные которые включали в себя обширную, конкретную и личную информацию о пользователе; и их фото в полном разрешении. В некоторых случаях даты рождения также были выставлены.
Ни одни из этих данных не была зашифрованы. Исследователи назвали приложение «крушение поезда конфиденциальности».
Исследователи связались с разработчиками 3fun 1 июля, чтобы сообщить об ошибках. Манро сказал, что разработчику приложений потребовались недели, чтобы решить проблемы.