Gotovo 1,5 milijuna fotografija korisnika specijaliziranih aplikacija za upoznavanje – od kojih su mnoge eksplicitne – mjesecima su bile pohranjene na internetu bez ikakve zaštite lozinkom, što ih je učinilo lako dostupnima hakerima i potencijalnim ucjenjivačima
Slike su bile dostupne svima koji su imali poveznicu, a dolazile su s pet aplikacija koje je razvila tvrtka M.A.D Mobile: BDSM People i Chica, koje su orijentirane na kink zajednicu, te LGBT aplikacija Pink, Brish i Translove. Procjenjuje se da te aplikacije koristi između 800.000 i 900.000 ljudi.
Propust M.A.D Mobilea
M.A.D Mobile je prvi put upozoren na sigurnosni propust 20. siječnja, no nije poduzeo nikakve mjere sve dok nije stigao upit BBC-ja.
Tvrtka je od tada ispravila propust, ali nije pojasnila kako je do njega došlo niti zašto nisu zaštitili osjetljive slike.
vezane vijesti
Etički haker Aras Nazarovas iz Cybernewsa prvi je upozorio tvrtku na sigurnosnu rupu nakon što je otkrio lokaciju online spremišta koje aplikacije koriste, analizirajući kod koji pokreće te usluge.
Bio je šokiran što je mogao pristupiti nekriptiranim i nezaštićenim fotografijama bez ikakve lozinke.
Goli muškarac u tridesetima
‘Prva aplikacija koju sam istraživao bila je BDSM People, a prva slika u mapi bio je goli muškarac u tridesetima. Čim sam to vidio, shvatio sam da ta mapa ne bi smjela biti javna', rekao je.
Nije se radilo samo o profilnim slikama, već i o onima koje su korisnici slali u privatnim porukama, pa čak i nekima koje su moderatori ranije uklonili.
Iako fotografije nisu bile povezane s korisničkim imenima, stručnjaci upozoravaju da su korisnici zbog ovakvih propusta izloženi ozbiljnom riziku – od ucjena do identifikacije u zemljama neprijateljski nastrojenima prema LGBT osobama.
Nazarovas je rekao kako otkriće nezaštićenog osjetljivog materijala predstavlja značajan rizik za korisnike tih platformi.
Zlonamjerni hakeri su mogli pronaći slike i ucjenjivati pojedince.
Postoji i opasnost za one koji žive u zemljama neprijateljski nastrojenima prema LGBT osobama.
Iz tvrtke M.A.D Mobile u šturoj su izjavi zahvalili istraživačima što su ih upozorili i najavili dodatna ažuriranja aplikacija, no nisu odgovorili na pitanja gdje im je sjedište i zašto su mjesecima ignorirali upozorenja.
Zbog zabrinutosti da tvrtka neće reagirati, istraživači su se odlučili oglasiti javno i prije nego što je ranjivost zakrpana, unatoč riziku za korisnike.
Podsjetimo, 2015. godine hakeri su provalili u bazu podataka stranice Ashley Madison, namijenjene onima koji žele prevariti partnere, i objavili osjetljive podatke tisuća korisnika diljem svijeta.
