Слив засчитан
Image

Слив засчитан

Твои данные уже на прилавке даркнета, пока ты слепо веришь в надежность своей двухфакторки. 

Скука, мастурбация и личные признания. В сеть утекли самые интимные данные пользователей одного приложения

leer en español

Google Firebase Trail of Bits Дэн Гуидо Apple Google утечка данных приватность
Скука, мастурбация и личные признания. В сеть утекли самые интимные данные пользователей одного приложения
Google Firebase Trail of Bits Дэн Гуидо Apple Google утечка данных приватность

Доверие, которое копили месяцами, исчезло за секунды из-за одной галочки.

image

Приложение, позиционирующее себя как инструмент для отказа от просмотра порнографии, оказалось источником масштабной утечки крайне чувствительных персональных данных. В открытом доступе оказалась информация о привычках пользователей, их возрасте, частоте мастурбации, эмоциональных состояниях и психологических триггерах, связанных с просмотром контента для взрослых.

Среди раскрытых данных присутствовали анкеты несовершеннолетних. В базе содержались сведения о возрасте, регулярности потребления порнографии, внутренних триггерах вроде скуки и сексуального влечения, а также показатели так называемой зависимости и описания симптомов, включая снижение мотивации, проблемы с концентрацией внимания и ощущение «тумана» в голове. Приложение также позволяло пользователям оставлять личные признания, где встречались сообщения с признаками сильного психологического кризиса и чувства беспомощности.

Проблему обнаружил независимый специалист, который сообщил о ней разработчику ещё в сентябре. Причиной утечки стала некорректная настройка платформы Google Firebase, используемой для хранения данных. По его данным, из-за стандартных настроек безопасности любой человек мог получить статус авторизованного пользователя и доступ к серверному хранилищу приложения. В результате был открыт доступ к информации более чем 600 000 пользователей, из которых около 100 000 идентифицировали себя как несовершеннолетние.

Создатель приложения отрицал сам факт утечки, утверждая, что данные могли быть подделаны, а проблема не связана с настройками Firebase. Однако после этого был создан тестовый аккаунт, который сразу же отобразился в открытой базе данных, что подтвердило сохранение уязвимости.

Тема небезопасных настроек Google Firebase давно известна профессиональному сообществу. Глава компании Trail of Bits Дэн Гуидо ранее указывал, что подобные ошибки легко выявляются и масштабируются, а сами платформы могли бы внедрять автоматические механизмы предупреждений и блокировок небезопасных конфигураций по аналогии с тем, как это было реализовано в Amazon S3.

Автор находки также отметил, что подобные проблемы должны выявляться ещё на этапе модерации приложений в магазинах, однако проверка серверной безопасности фактически не проводится. Apple и Google на запросы журналистов не ответили.