Nu este nevoie să așteptați până când ați ieșit din uterul mamei dvs. pentru a experimenta bucuriile de a vă încălca confidențialitatea, datorită unei aplicații mobile numite Peekaboo Moments.

înregistrare

Bithouse Inc. - dezvoltatorul aplicației mobile, care este conceput pentru a capta fotografii, audio, greutate, lungime, videoclipuri și jurnale ale copiilor începând cu zilele lor de zigot - a lăsat o bază de date Elasticsearch deschizându-se larg, lăsând mii de videoclipuri pentru copii și imagini expuse, nesecurizate și pregătite pentru a bâzui conținutul acestuia oricărui ocupat pe internet care știe unde să caute.

Baza de date a fost descoperită de Dan Ehrlich, care conduce startup-ul cibernetic Twelve Security din Texas. Ehrlich a declarat pentru Information Security Media Group (ISMG) că baza de date de 100 GB conține peste 70 de milioane de fișiere jurnal, cu date care se întorc până în martie 2019. Jurnalele înregistrează când cineva folosește aplicația Peekaboo, ce acțiuni au luat și când.

Și oh, ce acțiuni poți întreprinde! Pe măsură ce dezvoltatorul Peekaboo Moment vorbește pe înregistrarea Google Play a aplicației, utilizatorii pot ...

Fă fotografii, videoclipuri pentru micuții tăi! Începând de la sarcină, nou-născut până la fiecare prim „tată” și „mamă”, aceste amintiri vor fi auto-organizate în funcție de vârsta copilului.

Utilizatorii pot, de asemenea, să înregistreze greutatea, lungimea și datele de naștere ale bebelușilor lor, precum și datele privind locația lor, în latitudine și longitudine, până la patru zecimale: o precizie care se traduce la aproximativ 30 de picioare. Cu alte cuvinte, aceasta ar putea fi prima încălcare PII a bebelușului.

Baza de date deschisă a expus cel puțin 800.000 de adrese de e-mail, date detaliate despre dispozitiv și linkuri către fotografii și videoclipuri. Înghețarea cupcake-ului: Ehrlich a constatat că cheile API Peekaboo Moments pentru Facebook - care permit utilizatorilor să preia conținut pe care l-au încărcat pe Facebook și să-l posteze în aplicația Peekaboo - au fost, de asemenea, expuse, permițând potențial unui atacator să aibă acces la conținutul de pe paginile Facebook ale utilizatorilor.

Încă un lucru: Ehrlich spune că Peekaboo Moments și-a expus propriul punct final API, care ar putea permite unui atacator să își încarce propriul cod sau să exfiltreze toate datele pe care API le poate obține: un lucru de „hacking” destul de standard de făcut ”, el a spus.

Ehrlich a declarat Facebook despre API miercuri, dar de marți nu a răspuns la întrebări dacă va revoca cheile API ale dezvoltatorului.

Răspunsul lui Ehrlich la configurația îngrozitor de greșită: ochii mei.

Nu am văzut niciodată un server atât de descurajat. Totul despre server, site-ul web al companiei și aplicația iOS/Android a fost realizat în mod bizar și extrem de nesigur.

Ehrlich spune că datele sunt stocate pe servere găzduite de Alibaba Cloud din Singapore.

După cum subliniază ISMG, categoria SECȚIUNEA SECURIZATĂ, ÎMPĂRȚIREA PRIETENILOR din listarea aplicației face promisiuni pe care nu le-a păstrat, cum ar fi că va proteja datele și informațiile pe care le stochează.

„Înțelegem complet modul în care aceste momente [sunt] importante pentru tine”, grăbește aplicația Peekaboo Moments.

Confidențialitatea și securitatea datelor sunt prioritatea noastră. Fotografiile, audio-urile, videoclipurile sau jurnalele fiecărui bebeluș vor fi stocate într-un spațiu securizat. Doar familiile și prietenii pot avea acces la momentele bebelușului la dispoziția dvs.

Nu este clar de cât timp Bithouse a respins acea promisiune sau cine a intrat în baza sa de date deschisă Elasticsearch, dacă este cineva. Compania, aparent cu sediul în China, nu a răspuns la întrebările ISMG.

Jeremy Kirk, de la ISMG, a reușit totuși să ia legătura cu un utilizator Peekaboo care a spus că ideea străinilor care pot accesa fotografiile personale ale copiilor ei este înfiorătoare. Utilizatorul, Michelle Smith, a declarat pentru ISMB că aceasta este prima despre care a auzit de încălcare și că folosește aplicația de șapte ani pentru trei dintre copiii ei.

Acest lucru este foarte îngrijorător, deoarece am crezut că este o aplicație sigură și nu mă simt confortabil la gândul că străinii pot accesa fotografii personale.

O altă instanță Elasticsearch neconfigurată?

Așa cum am remarcat multe de mai multe ori, bazele de date Elasticsearch configurate necorespunzător sunt o cauză comună a dezvăluirii necorespunzătoare a datelor. Cum ar fi, să zicem, milioane de mesaje SMS difuzate de furnizorul de servicii de mesaje text TrueDialog luna trecută, baza de date Elasticsearch cu date despre clienți pentru 7,5 milioane de conturi Creative Cloud găsite deschise larg în octombrie sau baza de date cu scurgeri plină de e-mailuri Groupon (care, pentru ce merită, s-a dovedit a aparține escrocilor!).

Aceste baze de date sunt uneori configurate manual pentru acces la distanță, chiar dacă baza de date nu este concepută pentru a fi accesibilă prin intermediul unei adrese URL: acesta a fost eroarea care a cauzat scurgerea TrueDialog luna trecută.