Новости Ошибка разработчиков KidSecurity раскрыла личные данные детей по всему миру

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Что ожидать несовершеннолетним пользователям, если их жизни стали видны во всем интернете?


5g5d7wea1m7jq1eap5xoa17zv66mtcja.jpg


В результате недоработок разработчиков приложения для родительского контроля KidSecurity, произошла утечка чувствительной информации о детях, включая их геолокацию и личные сообщения.

Проблема Для просмотра ссылки Войди или Зарегистрируйся исследовательской группой Cybernews в феврале. Оказалось, что в течение более года данные, собранные с устройств несовершеннолетних, были доступны всем пользователям из-за неправильно настроенной системы аутентификации Kafka Broker Cluster. Анализ данных показал, что утечка коснулась пользователей по всему миру, в том числе в Восточной Европе и на Ближнем Востоке.

Приложение KidSecurity, насчитывающее более 1 миллиона загрузок в Google Play, предлагает родителям отслеживать местоположение детей, контролировать их цифровое взаимодействие и прослушивать окружающую среду ребенка для обеспечения его безопасности.

Среди утекшей информации оказались:

  • сообщения в соцсетях, включая Instagram*, WhatsApp, Telegram, Viber и VK;
  • email-адреса родителей;
  • IP-адреса;
  • информация в App Store: страна, страна профиля, валюты транзакций, даты начала и окончания подписки;
  • списки установленных приложений и статистика их использования;
  • награды, предоставляемые детям за выполнение различных заданий, например, за выполнение работы по дому или участие в спортивных соревнованиях;
  • аудиозаписи окружения несовершеннолетних;
  • номера IMEI;
  • местоположение устройства;
  • уровень заряда батареи смартфона;
  • другие периодически отправляемые метаданные;

В 2023 году приложение Для просмотра ссылки Войди или Зарегистрируйся в безопасности данных. В ноябре из-за неправильной настройки аутентификации системы утекло более 300 миллионов записей с личными данными пользователей.

Причиной утечки стал открытый кластер Kafka Broker. Как следствие, информация поступала подобно потоку данных, что позволяло злоумышленникам накапливать огромные объемы личной информации в течение длительного времени. Когда Cybernews обнаружил открытый кластер Kafka, принадлежащий приложению KidSecurity, в его кэше уже хранилось более 100 ГБ информации. За час наблюдения исследователи получили 456 000 личных сообщений, отправленных через приложения социальных сетей на телефонах несовершеннолетних, а также статистику использования приложений с 11 000 телефонов. Объем данных, собранных за такой ограниченный период времени, чрезвычайно велик. Доступ к кластеру был закрыт только после обращения Cybernews к компании.


34r2cnjo7nz39y38yu98tkep4hgsxqjl.png


Сохраненные хакерами данные

Небрежность в защите не только подвергла риску конфиденциальность данных детей, но и дала возможность киберпреступникам манипулировать полученной информацией, создавая потенциальную угрозу их безопасности.

<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
 
Источник новости
www.securitylab.ru

Похожие темы