Уязвимость дейтинг-приложения раскрыла данные 1,5 млн пользователей — в том числе в Белом доме США


    Проект Pen Test Partners опубликовал результаты исследования одного из популярных дейтинг-приложений. Речь идёт о приложении по поиску партнёров для группового секса 3fun с базой в полтора миллиона пользователей. Исследование показало, что система безопасности приложения не выдерживает никакой критики.

    «За последние годы мы встречали много слабых мест в безопасности приложений для знакомств. Нарушения обработки персональных данных, утечка информации о местоположении пользователей и многое другое. Но это приложение срывает куш: у него, вероятно, худшее обеспечение безопасности из всех приложений для знакомств, которые мы когда-либо видели», — пишут Pen Test Partners.

    По информации исследователей, приложение показывает местоположение практически любого пользователя в режиме реального времени — на работе, дома, в дороге, где угодно. Оно показывает даты рождения пользователей, их сексуальные предпочтения и данные чата. Также с его помощью можно найти личные фото пользователей.

    «Это крушение поезда конфиденциальности. Сколько отношений или карьер может рухнуть из-за раскрытия этих данных?» — отмечают в Pen Test Partners.

    Некоторые приложения для знакомств, включая grindr, ранее сталкивались с проблемами раскрытия информации о местонахождении пользователей методом трилатерации (определение координат путём построения на местности системы смежных треугольников, в которых измеряются длины их сторон). С его помощью можно воспользоваться функцией «расстояние от меня» в приложении и получить относительно точное местоположение другого пользователя. Но 3fun, по мнению Pen Test Partners, «на целый порядок» менее безопасно. Из его систем с помощью GET-запроса можно выяснить широту и долготу нахождения пользователя и определить его местонахождение вплоть до дома.

    Как заявляют в Pen Test Partners, из-за уязвимости они обнаружили несколько пользователей приложения в государственных учреждениях в разных странах, включая Верховный суд США, Белый дом и Даунинг-стрит, 10 (резиденция премьер-министра Великобритании). Также приложение позволяет увидеть точную дату рождения пользователя, что позволяет легко деанонимизировать его.

    «Мы связались с 3fun по этому поводу и попросили их исправить недостатки безопасности. 3fun достаточно быстро решили проблему, но очень жаль, что так много личных данных были открыты так долго», — заключили в Pen Test Partners.

    Вдохновившись опытом Pen Test Partners, похожие исследования провели в TechCrunch.

    «Мы смогли сменить нашу текущую геолокацию в соответствии с любым набором координат, который мы хотели, например, на Белый дом и штаб-квартиру ЦРУ. Мы смогли таким образом манипулировать нашим местоположением и получить данные для нужного нам места. Мы нашли профили пользователей, включая их сексуальные предпочтения, сексуальную ориентацию, возраст, имя пользователя и имя его партнера и множество другой обширной, конкретной и личной информации о пользователях, включая и их фотографии. В некоторых случаях были выставлены и даты рождения. Ни одна часть данных не была зашифрована», — пишут в TechCrunch.

    И это только один случай из целого ряда подобных. К примеру, приложение для знакомств JCrush, популярное в еврейском сообществе, раскрыло данные 200 000 пользователей после нарушения правил безопасности. В прошлом году приложение для знакомств Donald Daters из-за ошибки в кодировке ключей безопасности раскрыло всю свою пользовательскую базу — в то время около 1600 пользователей.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 10

      –1
      Возможно, это было сделано специально? Брошенные жёны, оскорблённые мужья сделали дыру в приложении, чтобы любой, кто подозревает своего партнёра в измене, мог легко определить его верность?
        +1
        Нет, в данном случае не стоит искать масонскую ложу — здесь просто банальная лажа.
        Хотя дыра перспективная, для всяких, гхм, социоинженеров, да.
          0
          Не очень то и перспективная, рассылка по этим адресам невыгодное занятие. Например давным давно «сливали» топфейс, даже был пост. Правда сливом это не назовёшь, там почту или страницы в соц сетях выдавал сам сайт в ответе, и как оказалось там больше половины ботов и пустых страниц.
        +2

        Я не понимаю только одного: как факт пользования таким приложением может "разрушить карьеру"? Какое это значение имеет? Позавидуют и уволят, что ли?


        Также, пользователь всегда может сказать, что он из любопытства скачал приложение, просто посмотреть. Если это, например, политик, то сказать, что ради изучения текущей ситуации в своем регионе. Хотя я бы предпочел политика, который бы честно сказал, что ведет разнообразную жизнь и ему это нравится.


        Ну и как я понял, участие в приложении еще не значит, что человек кого-то обманывает или что-то скрывает от партнера.

          0
          человек, похожий на генерального прокурора, пострадал именно из-за такой видеозаписи. У политиков всегда есть враги и соперники, им только дай нужный инструмент, а там уж сообразят как его использовать.
            0
            Если это, например, политик, то сказать, что ради изучения текущей ситуации в своем регионе.
            Да вы что…
            Речь идёт о приложении по поиску партнёров для группового секса
            В любой цивилизованной стране групповуха не приветствуется.
              0
              ради изучения текущей ситуации в своем регионе.

              Демографической, ага. И её улучшения, если она не очень.
                0
                > В любой цивилизованной стране групповуха не приветствуется.

                С чего это вдруг? Не приветствуются любые формы насилия, вроде ранних браков по принуждению. А по взаимному согласию взрослых людей — хоть групповуха, хоть БДСМ.
                  +1
                  Публично — нет.
              +1

              А где ссылки на оригинал?

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое