Геолокации, ВИЧ-статусы и миллионы признаний — теперь это не секреты, а публичный архив

Команда исследователей из Cybernews обнаружила масштабную утечку данных в приложении Headero — сервисе для знакомств, ориентированном на ЛГБТ* аудиторию и пользователей с нестандартными сексуальными предпочтениями. Проблема заключалась в полном отсутствии защиты у базы данных, что позволило получить несанкционированный доступ к информации миллионов пользователей, включая точные GPS-координаты , интимную переписку, сведения о состоянии здоровья и другие чувствительные данные.

Приложение распространяется через Google Play и разработано американской компанией ThotExperiment. Оно предлагает привычный набор функций: геолокационные фильтры, гибкие настройки профиля и систему личных сообщений. Однако за внешней обёрткой скрывалась критическая уязвимость — открытая для любого доступа база MongoDB , использовавшаяся приложением для хранения пользовательских профилей, переписки и прочих приватных данных. Она была размещена в интернете без какой-либо аутентификации, что позволило получить к ней полный доступ без пароля или ограничений.

Особую тревогу вызывает то, что любой мог получить доступ к координатам пользователей в реальном времени — это создаёт прямую угрозу физической безопасности, особенно для людей из дискриминируемых групп, проживающих в странах с высоким уровнем нетерпимости.

По мнению экспертов, утечка произошла по одной из самых распространённых причин — из-за человеческой ошибки при конфигурации сервера. Отсутствие базовой аутентификации в MongoDB, несмотря на известность уязвимости, остаётся частой проблемой даже в крупных проектах. Исследователи отмечают, что подобные случаи они регулярно фиксируют у компаний самых разных масштабов — от небольших разработчиков до международных сервисов.

Cybernews оперативно уведомила разработчиков Headero, и доступ к базе был закрыт. Команда проекта заявила, что речь шла о тестовой среде. Однако анализ показал, что в уязвимой базе находились реальные пользовательские данные, а не обезличенные или сгенерированные в процессе разработки.

Этот инцидент — не первый в череде аналогичных. Ранее приложения для знакомств , особенно ориентированные на нишевые сообщества, неоднократно становились источниками масштабных утечек. Cybernews уже освещал случаи, когда в открытом доступе оказывались изображения из чатов, данные о сексуальных предпочтениях, а также фотографии, удалённые пользователями за нарушение правил.

В одном из таких эпизодов были скомпрометированы почти 1,5 миллиона изображений , включая верификационные и личные снимки, отправленные в приватной переписке. Как и сейчас, всё свелось к халатному отношению к защите данных — цена которому стала обнажение личной жизни тысяч людей.

Хотя на данный момент база данных Headero закрыта, до сих пор неясно, успели ли злоумышленники до неё добраться. С учётом характера скомпрометированной информации, даже кратковременное окно доступа могло привести к шантажу, фишинговым атакам или даже физическому преследованию.

* Движение ЛГБТ признано экстремистским и запрещено на территории РФ.