Ερευνητές ανακάλυψαν ότι σχεδόν 1,5 εκατομμύρια φωτογραφίες από εξειδικευμένες εφαρμογές γνωριμιών – πολλές από τις οποίες απεικονίζουν γυμνά άτομα – αποθηκεύονται στο διαδίκτυο χωρίς προστασία, αφήνοντάς τες ευάλωτες σε χάκερ και εκβιαστές.
Οποιοσδήποτε είχε τον σύνδεσμο ήταν σε θέση να δει τις ιδιωτικές φωτογραφίες από πέντε πλατφόρμες που αναπτύχθηκαν από την M.A.D Mobile: τις κινκ ιστοσελίδες BDSM People και Chica, και τις ΛΟΑΤΚΙ+ εφαρμογές Pink, Brish και Translove.
Αυτές οι υπηρεσίες χρησιμοποιούνται από περίπου 800.000 έως 900.000 άτομα.
Η M.A.D Mobile προειδοποιήθηκε για πρώτη φορά για το ελάττωμα ασφαλείας στις 20 Ιανουαρίου, αλλά δεν έλαβε μέτρα μέχρι που το BBC έστειλε email την Παρασκευή.
Έκτοτε το διόρθωσαν, αλλά δεν είπαν πώς συνέβη ή γιατί απέτυχαν να προστατεύσουν τις ευαίσθητες εικόνες.
Ο ηθικός χάκερ (ethical hacker: χρησιμοποιεί τις γνώσεις και τις δεξιότητές του για να διασφαλίσει και να βελτιώσει την τεχνολογία οργανισμών) Aras Nazarovas από το Cybernews ειδοποίησε για πρώτη φορά την εταιρεία για το κενό ασφαλείας αφού βρήκε τη θέση του online αποθηκευτικού χώρου που χρησιμοποιούν οι εφαρμογές αναλύοντας τον κώδικα που τροφοδοτεί τις υπηρεσίες.
Σοκαρίστηκε από το γεγονός ότι μπορούσε να έχει πρόσβαση στις μη κρυπτογραφημένες και μη προστατευμένες φωτογραφίες χωρίς κανένα κωδικό πρόσβασης.
«Η πρώτη εφαρμογή που ερεύνησα ήταν η BDSM People και η πρώτη εικόνα στο φάκελο ήταν ένας γυμνός άνδρας γύρω στα τριάντα», είπε.
«Μόλις την είδα, συνειδητοποίησα ότι αυτός ο φάκελος δεν έπρεπε να είναι δημόσιος».
Οι εικόνες δεν περιορίζονταν μόνο σε εκείνες από τα προφίλ, είπε – περιλάμβαναν εικόνες που είχαν σταλεί ιδιωτικά σε μηνύματα, ακόμη και κάποιες που είχαν αφαιρεθεί.
Ο Nazarovas δήλωσε ότι η ανακάλυψη απροστάτευτου ευαίσθητου υλικού συνοδεύεται από σημαντικό κίνδυνο για τους χρήστες των πλατφορμών.
Κακόβουλοι χάκερ θα μπορούσαν να έχουν βρει τις εικόνες και να εκβιάσουν άτομα. Υπάρχει επίσης σοβαρός κίνδυνος για όσους ζουν σε χώρες εχθρικές προς τα ΛΟΑΤΚΙ+ άτομα.
Κανένα από τα περιεχόμενα κειμένου των ιδιωτικών μηνυμάτων δεν βρέθηκε να αποθηκεύεται με αυτόν τον τρόπο και οι εικόνες δεν επισημαίνονται με ονόματα χρηστών ή πραγματικά ονόματα, γεγονός που θα καθιστούσε πιο περίπλοκες τις στοχευμένες επιθέσεις σε χρήστες.
Σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου η M.A.D Mobile δήλωσε ότι είναι ευγνώμων στον ερευνητή για την αποκάλυψη του λάθους στις εφαρμογές, ώστε να αποτραπεί η παραβίαση δεδομένων.
Αλλά δεν υπάρχει καμία εγγύηση ότι ο Nazarovas ήταν ο μόνος χάκερ που βρήκε τις εικόνες.
«Εκτιμούμε το έργο τουw και έχουμε ήδη λάβει τα απαραίτητα μέτρα για την αντιμετώπιση του προβλήματος», δήλωσε εκπρόσωπος της M.A.D Mobile. «Μια πρόσθετη ενημέρωση για τις εφαρμογές θα κυκλοφορήσει στο App Store τις επόμενες ημέρες».
Η εταιρεία δεν απάντησε σε περαιτέρω ερωτήσεις σχετικά με το πού εδρεύει και γιατί χρειάστηκαν μήνες για να αντιμετωπιστεί το ζήτημα μετά από πολλαπλές προειδοποιήσεις από ερευνητές.
Συνήθως οι ερευνητές ασφαλείας περιμένουν μέχρι να διορθωθεί μια ευπάθεια πριν δημοσιεύσουν μια διαδικτυακή αναφορά, σε περίπτωση που θέσει τους χρήστες σε περαιτέρω κίνδυνο επίθεσης.
Όμως ο Nazarovas και η ομάδα του αποφάσισαν να σημάνουν συναγερμό την Πέμπτη, ενώ το ζήτημα ήταν ακόμη ανοιχτό, καθώς ανησυχούσαν ότι η εταιρεία δεν έκανε τίποτα για να το διορθώσει.
«Είναι πάντα μια δύσκολη απόφαση, αλλά πιστεύουμε ότι το κοινό πρέπει να γνωρίζει για να προστατευτεί», δήλωσε.
Πληροφορίες από BBC.
