Ошибка разработчиков KidSecurity раскрыла личные данные детей по всему миру

В результате недоработок разработчиков приложения для родительского контроля KidSecurity, произошла утечка чувствительной информации о детях, включая их геолокацию и личные сообщения.

Проблема была выявлена исследовательской группой Cybernews в феврале. Оказалось, что в течение более года данные, собранные с устройств несовершеннолетних, были доступны всем пользователям из-за неправильно настроенной системы аутентификации Kafka Broker Cluster. Анализ данных показал, что утечка коснулась пользователей по всему миру, в том числе в Восточной Европе и на Ближнем Востоке.

Приложение KidSecurity, насчитывающее более 1 миллиона загрузок в Google Play, предлагает родителям отслеживать местоположение детей, контролировать их цифровое взаимодействие и прослушивать окружающую среду ребенка для обеспечения его безопасности.

Среди утекшей информации оказались:

• сообщения в соцсетях, включая Instagram*, WhatsApp, Telegram, Viber и VK;
• email-адреса родителей;
• IP-адреса;
• информация в App Store: страна, страна профиля, валюты транзакций, даты начала и окончания подписки;
• списки установленных приложений и статистика их использования;
• награды, предоставляемые детям за выполнение различных заданий, например, за выполнение работы по дому или участие в спортивных соревнованиях;
• аудиозаписи окружения несовершеннолетних;
• номера IMEI;
• местоположение устройства;
• уровень заряда батареи смартфона;
• другие периодически отправляемые метаданные;

В 2023 году приложение уже допускало ошибки в безопасности данных. В ноябре из-за неправильной настройки аутентификации системы утекло более 300 миллионов записей с личными данными пользователей.

Причиной утечки стал открытый кластер Kafka Broker. Как следствие, информация поступала подобно потоку данных, что позволяло злоумышленникам накапливать огромные объемы личной информации в течение длительного времени. Когда Cybernews обнаружил открытый кластер Kafka, принадлежащий приложению KidSecurity, в его кэше уже хранилось более 100 ГБ информации. За час наблюдения исследователи получили 456 000 личных сообщений, отправленных через приложения социальных сетей на телефонах несовершеннолетних, а также статистику использования приложений с 11 000 телефонов. Объем данных, собранных за такой ограниченный период времени, чрезвычайно велик. Доступ к кластеру был закрыт только после обращения Cybernews к компании.

Сохраненные хакерами данные

Небрежность в защите не только подвергла риску конфиденциальность данных детей, но и дала возможность киберпреступникам манипулировать полученной информацией, создавая потенциальную угрозу их безопасности.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.