Scandalul intimității online: 1,5 milioane de imagini private de pe aplicații de întâlniri vulnerabile hackerilor

Cercetătorii au descoperit aproape 1,5 milioane de fotografii de pe aplicații de întâlniri specializate – multe dintre ele fiind explicite – stocate online fără protecție prin parolă, lăsându-le vulnerabile în fața hackerilor și extorționiștilor.

Oricine avea linkul putea vizualiza fotografiile private de pe cinci platforme dezvoltate de M.A.D Mobile: site-urile kink BDSM People și Chica și aplicațiile LGBT Pink, Brish și Translove. Aceste servicii sunt utilizate de aproximativ 800.000 până la 900.000 de persoane. M.A.D Mobile a fost avertizată prima dată despre deficiența de securitate pe 20 ianuarie, dar nu a acționat până când nu a fost contactată printr-un email vineri. Au remediat problema ulterior, dar nu au explicat cum s-a întâmplat sau de ce au eșuat în protejarea imaginilor sensibile.

Hackerul etic Aras Nazarovas de la Cybernews a informat prima dată firma despre vulnerabilitate după ce a găsit locația stocării online folosite de aplicații analizând codul care alimentează serviciile. A fost surprins că a putut accesa fotografiile necriptate și neprotejate fără parolă. "Prima aplicație investigată a fost BDSM People, iar prima imagine din folder era un bărbat nud de circa treizeci de ani", a spus el. "Imediat ce am văzut-o, mi-am dat seama că acest folder nu ar fi trebuit să fie public." Imaginile nu erau limitate doar la cele din profiluri – includeau și imagini trimise în mesaje private și chiar unele care fuseseră eliminate de moderatori.

Domnul Nazarovas a menționat că descoperirea materialului sensibil neprotejat vine cu un risc semnificativ pentru utilizatorii platformelor. Hackerii rău intenționați ar fi putut găsi imaginile și extorca persoane. Există, de asemenea, un risc pentru cei care trăiesc în țări ostile persoanelor LGBT. Nu s-a găsit niciun conținut text al mesajelor private stocat în acest mod, iar imaginile nu sunt etichetate cu nume de utilizatori sau nume reale, ceea ce ar face mai complexă țintirea atacurilor către utilizatori. M.A.D Mobile a declarat într-un email că este recunoscătoare cercetătorului pentru descoperirea vulnerabilității în aplicații pentru a preveni o breșă de date. Dar nu există garanții că domnul Nazarovas a fost singurul hacker care a descoperit imaginile.

"Apreciem munca lor și am luat deja măsurile necesare pentru a rezolva problema", a spus un purtător de cuvânt al M.A.D Mobile. "Un update suplimentar pentru aplicații va fi lansat în următoarele zile pe App Store." Compania nu a răspuns la întrebări suplimentare despre locația lor și de ce a durat atât de mult pentru a soluționa problema după multiplele avertismente ale cercetătorilor.

De obicei, cercetătorii în securitate așteaptă până când o vulnerabilitate este rezolvată înainte de a publica un raport online, pentru a nu pune utilizatorii la un risc mai mare de atac. Totuși, domnul Nazarovas și echipa sa au decis să alerteze publicul joi, cât încă problema era activă, deoarece erau îngrijorați că firma nu face nimic pentru a o rezolva. "Este întotdeauna o decizie dificilă, dar credem că publicul trebuie să știe pentru a se proteja," a spus el. În 2015, hackerii rău intenționați au furat o cantitate mare de date despre utilizatorii Ashley Madison, un site de întâlniri pentru persoanele căsătorite care doreau să-și înșele partenerul.