نقض داده های عظیم 50،000 پروفایل را از برنامه دوست یابی “پدر همجنسگرا” بیرون می کشد – نام کاربران ، عکس های خصوصی و وضعیت HIV را در معرض نمایش قرار می دهد

محققان امنیت سایبری کشف کرده اند که یک نقض اطلاعات عظیم بیش از 50،000 پروفایل از برنامه دوستیابی “پدر همجنسگرا” به بیرون درز کرده است.

داده های در معرض حاوی اطلاعات بسیار حساس از جمله نام کاربران ، سنین ، داده های مکان و وضعیت HIV است.

به گفته کارشناسان CyberNews ، بانک اطلاعاتی در معرض همچنین بیش از 124،000 پیام و عکس خصوصی دارد – که بسیاری از آنها صریح است.

در حالی که برنامه خود را به عنوان “جامعه خصوصی و ناشناس” به بازار عرضه می کند ، محققان می گویند که به هر کسی که دارای “دانش فنی اساسی” باشد ، می توان به این اطلاعات دسترسی پیدا کرد.

محققان می گویند شکست امنیتی “ویرانگر” برنامه کاربران خود را در معرض خطر جدی باج خواهی ، بهره برداری و حتی آسیب های جسمی قرار می دهد.

از زمان هشدار به این مسئله ، توسعه دهنده برنامه ، Surendra Kumar ، نشت را برطرف کرده است اما به درخواست های اظهار نظر پاسخ نداده است.

Aras Nazarovas ، محقق اصلی Cybernews ، می گوید: “این یک مورد کتاب درسی است که چگونه شیوه های امنیتی ضعیف می تواند افراد واقعی را در معرض خطر قرار دهد.

“برای برنامه ای که نوید ناشناس ماندن است ، تکان دهنده است که می بینید که به راحتی مکالمات خصوصی کاربر ، اطلاعات شخصی و حتی به داده های موقعیت مکانی قابل دسترسی است.”

“Daddy Gay: 40+ Date & Chat” 200000 بار بارگیری شده است اما به نظر می رسد توسط یک فرد واحد نگهداری می شود. کارشناسان می گویند امنیت این برنامه به حدی ضعیف بود که داده های کاربران را می توان توسط هر کس با “دانش فنی اساسی” بدست آورد

برنامه “بابا همجنسگرا: 40+ تاریخ و چت” این فرصت را به کاربران خود می دهد تا “با پدر همجنسگرا محلی ، سن 40+ ، همجنسگرا و دوجنسگرا با ذهن باز ملاقات کنند.”

صفحه فروشگاه برنامه iOS می افزاید: این یک جامعه خصوصی و ناشناس است که در آن همجنسگرا و دوجنسگرا با ذهنیت باز محلی با یکدیگر ملاقات می کنند. “

این برنامه بیش از 200،000 بار بارگیری شده است اما به نظر می رسد توسط یک فرد مجرد ، آقای کومار نگهداری می شود.

با این حال ، علیرغم ادعای اینکه داده ها هرگز با اشخاص ثالث به اشتراک گذاشته نشده است ، محققان دریافتند که اطلاعات کاربران بسیار ضعیف محافظت می شود.

داده های خصوصی کاربران با استفاده از سیستمی به نام Firebase ، ابزاری که توسط Google ساخته شده است برای آسانتر کردن توسعه برنامه و ویژگی های ساده مانند ذخیره داده ها و گپ های زمان واقعی ذخیره شده است.

نه تنها ذخیره سازی Firebase از رمز عبور محافظت نمی شد ، بلکه اطلاعات مورد نیاز برای یافتن آن با متن ساده مستقیماً در کد عمومی برنامه نوشته شده است.

این بدان معناست که هرکسی که وقت خود را برای نگاه کردن به کد برنامه گرفته است ، می تواند پیام های کاربران را بخواند ، تصاویر آنها را ببیند و حتی بدون مشکل به داده های مکان دسترسی پیدا کند.

آقای نازارواس می گوید: “کاربران انتظار دارند که این برنامه با احتیاط باشد ، اما کاملاً برعکس است.

برنامه Gay Daddy (تصویر) اطلاعات مورد نیاز برای دسترسی به پایگاه داده ذخیره سازی خود را در کد قابل دسترسی عمومی خود ترک کرد. هرکسی که دارای این اطلاعات باشد می تواند به تمام داده های کاربر خود ، از جمله پیام های خصوصی ، عکس ها ، مکان ها و پروفایل ها ، از جمله نام ، سن ، وضعیت روابط و حتی وضعیت HIV دسترسی پیدا کند.

این تصویر پایگاه داده ای را که محافظت نشده و در دسترس عموم بود ، نشان می دهد. در سمت چپ ، می توانید یک مکالمه خصوصی بین دو کاربر برنامه را بخوانید. در سمت راست ، می توانید جزئیات چندین پروفایل کاربر ، از جمله نام آنها و وضعیت HIV را بخوانید

“این نشت داده ها امنیت کاربران برنامه را به خطر می اندازد و به بازیگران تهدید اجازه می دهد پیام های خصوصی را بخوانند و لیست های تماس و داده های مکان را بدست آورند.

“این امر نه تنها افراد را در معرض تهدیدات سایبری قرار می دهد ، بلکه به خطرات آسیب های مالی ، روانی و حتی جسمی نیز در معرض خطر قرار می گیرد ، به ویژه با توجه به ننگ غالب پیرامون همجنسگرایی در برخی کشورها.”

به همین ترتیب ، در کشورهایی که همجنسگرایی غیرقانونی است ، این اطلاعات شخصی می تواند کاربران را در معرض خطر جدی آزار و اذیت قرار دهد.

در زمان کشف ، نقطه ذخیره سازی Firebase در حال حاضر 50،000 پروفایل کاربر را نشت می کرد اما محققان می گویند یک مهاجم مصمم می تواند خسارت بیشتری ایجاد کند.

Firebase فقط به عنوان ذخیره موقت مورد استفاده قرار می گیرد ، بنابراین اطلاعات قدیمی تر پس از پر شدن به طور خودکار حذف می شوند.

این بدان معناست که یک مهاجم می تواند برای مدت طولانی در پایگاه داده کمین کند و به آرامی یک پایگاه داده حتی بزرگتر در مورد کاربران برنامه جمع کند.

علاوه بر آشکار کردن محل ذخیره سازی Firebase ، کد برنامه همچنین حاوی اطلاعات فنی حساس است که به عنوان “اسرار” شناخته می شود که می تواند برای حملات حتی بیشتر مورد بهره برداری استفاده شود.

با این حال ، بدون تأیید از توسعه دهنده تنها برنامه ، آقای Kumar ، غیرممکن است بدانید که آیا کسی غیر از محققان CyberNews به این بانک اطلاعاتی دسترسی پیدا کرده است.

در زمان کشف ، بانک اطلاعاتی ناامن 50،000 پروفایل کاربر را نشت می کرد ، اما کارشناسان امنیت سایبری می گویند یک مهاجم مصمم می تواند اطلاعات بیشتری کسب کند. این کار کاربران برنامه را در معرض خطر جدی باج خواهی ، اخاذی و حتی آسیب جسمی قرار می دهد

این پس از آن صورت می گیرد که تحقیقات Cybernews نشان داد که 1.5 میلیون عکس خصوصی از برنامه های BDSM و LGBT به بیرون درز شده است. این تصویر (برای حفظ حریم خصوصی پیکسل) یکی از آن عکس هایی است که در دسترس عموم و کاملاً محافظت نشده است

این پس از آن است که سایبرنوز فاش کرد که تقریباً 1.5 میلیون عکس خصوصی ، که بسیاری از آنها صریح بودند ، به دلیل آسیب پذیری مشابه از برنامه های دوست یابی LGBT بیرون آمده بودند.

برنامه های آسیب دیده شامل سایت های دوست یابی Kink BDSM People و Chica ، و همچنین خدمات دوست یابی LGBT Pink ، Brish و Translove – همه اینها توسط Mad Mobile ساخته شده است.

در کل ، این برنامه های نشتی اطلاعات و پیام های خصوصی را تا 900،000 کاربر در معرض دید قرار داده اند.

سخنگوی Mad Mobile به MailOnline گفت که این نقص امنیتی بحرانی احتمالاً ناشی از “خطای ساده انسانی” بوده است.

نگران کننده ، تحقیقات CyberNews نشان می دهد که این نوع نقص امنیتی ممکن است به طرز تکان دهنده ای در فروشگاه App Apple متداول باشد.

محققان 156،000 برنامه iOS ، حدود هشت درصد از فروشگاه App را بارگیری کردند و دریافتند که اکثریت قریب به اتفاق همین مسئله امنیتی را دارند.

از برنامه های مورد تجزیه و تحلیل ، 7.1 درصد حداقل یک قطعه از اطلاعات فنی یا “راز” را بیرون کشیدند که میانگین برنامه 5.2 راز را در معرض دید خود قرار می دهد.