Дослідники виявили майже 1,5 мільйона фотографій із спеціалізованих додатків для знайомств – багато з яких явні – зберігаються в Інтернеті без захисту пароля, залишаючи їх вразливими для хакерів та вимагаючих.
Кожен, хто має посилання, зміг переглянути приватні фотографії з п'яти платформ, розроблених Mad Mobile: Cink Sites BDSM People та Chica, та LGBT Apps Pink, Brish та Trapleve.
Ці послуги використовуються приблизно від 800 000 до 900 000 людей.
Mad Mobile вперше попередили про недолік безпеки 20 січня, але не вживав заходів, поки BBC не надсилається в п’ятницю.
З тих пір вони виправили це, але не сказали, як це сталося або чому вони не змогли захистити чутливі зображення.
Етичний хакер Арас Назаровс з Кіберноуса вперше попередив фірму про отвір безпеки після пошуку розташування онлайн -сховища, яке використовується програмами, аналізуючи код, який надає службу.
Він був шокований тим, що він може отримати доступ до незашитованих та незахищених фотографій без будь -якого пароля.
“Перший додаток, який я досліджував, – це люди BDSM, і перше зображення в папці був оголеним чоловіком у тридцятих роках”, – сказав він.
“Як тільки я це побачив, я зрозумів, що ця папка не повинна бути публічною”.
Зображення не обмежувались із зображеннями з профілів, він сказав – вони включали фотографії, які були надіслані приватно в повідомленнях, і навіть деякі, які були видалені модераторами.
Г -н Назаров сказав, що відкриття незахищеного чутливого матеріалу має значний ризик для користувачів платформ.
Зловмисні хакери могли знайти образи та вимагати людей.
Також є ризик для тих, хто живе в країнах, вороже до ЛГБТ -людей.
Жоден із текстових вмісту приватних повідомлень не було зберігається таким чином, і зображення не позначаються іменами користувачів або реальними іменами, що зробить створення цільових атак на користувачів більш складними.
В електронному листі Mad Mobile заявив, що вдячний досліднику за розкриття вразливості в додатках, щоб запобігти виникненню порушення даних.
Але немає гарантії, що пан Назаров був єдиним хакером, який знайшов сховище зображення.
“Ми цінуємо їхню роботу і вже вжили необхідних заходів для вирішення цього питання”, – заявив прес -секретар Mad Mobile. “Додаткове оновлення для додатків буде випущено в App Store в найближчі дні.”
Компанія не відповіла на подальші питання щодо того, де базується компанія, і чому для вирішення цього питання знадобилося місяці після декількох попереджень дослідників.
Зазвичай дослідники безпеки чекають, поки вразливість не буде виправлена перед опублікуванням онлайн -звіту, якщо він ставить користувачів до подальшого ризику нападу.
Але пан Назаров та його команда вирішили підняти тривогу в четвер, поки проблема все ще живе, оскільки вони були стурбовані, що компанія нічого не робить, щоб виправити це.
“Це завжди важке рішення, але ми думаємо, що громадськість повинна знати, щоб захистити себе”, – сказав він.
У 2015 році зловмисні хакери вкрали велику кількість даних клієнтів про користувачів Ешлі Медісон, веб -сайт знайомств для одружених людей, які бажають обдурити свого подружжя.
