به گزارش بخش علمی رسانه اخبار فناوری تک فاکس،
محققان امنیت سایبری هشدار فوری صادر کرده اند زیرا تقریباً 1.5 میلیون عکس خصوصی از برنامه های دوست یابی در معرض دید قرار می گیرند.
برنامه های آسیب دیده شامل سایت های دوست یابی Kink BDSM People و Chica ، و همچنین خدمات دوست یابی LGBT Pink ، Brish و Translove – همه اینها توسط MAD Mobile ساخته شده است.
پرونده های درز شده شامل عکس هایی است که برای تأیید ، عکس های حذف شده توسط مجری برنامه ها و عکس های ارسال شده در پیام های مستقیم بین کاربران – که بسیاری از آنها صریح بودند.
این اسنپ های حساس بدون محافظت از رمز عبور به صورت آنلاین ذخیره می شدند ، به این معنی که هر کسی که این لینک می تواند آنها را مشاهده و بارگیری کند.
محققان Cybernews ، که آسیب پذیری را کشف کردند ، می گویند این نقص امنیتی به راحتی مورد سوء استفاده قرار می گیرد که 900000 کاربر را در معرض خطر هک یا اخاذی بیشتر قرار می دهد.
سخنگوی Mad Mobile به MailOnline گفت که آنها اطمینان دارند که هیچ یک از تصاویر توسط بازیگران مخرب بارگیری نشده است و اکنون این مسئله حل شده است.
با این حال ، توسعه دهنده هنوز کاملاً یقین ندارد که چرا چنین اطلاعات کاربر بسیار حساس و حساس کاملاً محافظت نشده است.
Mad Mobile “در حال انجام تحقیقات داخلی” است اما معتقد است که این مسئله ناشی از “یک خطای ساده انسانی” است.
کارشناسان امنیت سایبری پس از تقریباً 1.5 میلیون تصویر خصوصی از BDSM و برنامه های دوستیابی LGBT به صورت آنلاین ، اخطار فوری صادر کرده اند. تصاویری از این دست (تاری برای حفظ حریم خصوصی) برای هر کسی که دسترسی به یک لینک در دسترس عموم داشته باشد در دسترس بود
کد برنامه BDSM People (تصویر) منجر به یک مکان ذخیره سازی ناامن حاوی 1.6 میلیون پرونده و بیش از 128 گیگابایت داده شد. در میان این پرونده ها 541،000 عکس بود که کاربران برای یکدیگر ارسال کرده اند یا در برنامه بارگذاری شده اند ، از جمله تعداد زیادی از تصاویر صریح
هکر اخلاقی ، آراس نظارواس ، که آسیب پذیری امنیتی را کشف کرد ، به MailOnline گفت که “شوکه شده” است که چنین پیام های آشکارا خصوصی در دسترس عموم است.
کد در دسترس عموم برنامه ها شامل آنچه توسعه دهندگان “اسرار” می نامند ، مواردی مانند رمزهای عبور و کلیدهای رمزگذاری که به طور معمول به معنای پنهان ماندن بودند.
با کمال تعجب ، این اسرار همچنین شامل مکان های “سطل” ذخیره سازی آنلاین ناامن که بیش از یک میلیون عکس کاربر در آن برگزار می شد ، بود.
آقای نازارواس می گوید: “توسعه دهندگان این برنامه از ویژگی های امنیتی داخلی مانند نیاز به تأیید اعتبار برای دسترسی به تصاویر ذخیره شده در داخل ، غیرفعال کرده بودند ، علاوه بر این ، هیچ کنترل دسترسی وجود ندارد که کاربران بتوانند فقط بتوانند به تصاویری که از طریق پیام های خصوصی بارگذاری کرده اند یا دریافت کرده اند دسترسی پیدا کنند.
“به همین دلیل ، یک مهاجم فقط باید نام سطل را که در برنامه سخت شده بود ، بداند تا به این تصاویر دسترسی پیدا کند.”
به عنوان مثال ، راز باقی مانده در کد برنامه BDSM مردم اجازه دسترسی به یک سطل ذخیره سازی با 1.6 میلیون پرونده و بیش از 128 گیگابایت داده را می داد.
در میان این پرونده ها 541،000 عکس وجود داشت که کاربران برای یکدیگر ارسال کرده اند یا در برنامه بارگذاری شده اند ، از جمله تعداد زیادی از تصاویر صریح.
آقای نازارواس می گوید: “جای تعجب آور نیست که برنامه های دوستیابی ممکن است حاوی چنین پیام هایی بویژه موارد ارسال شده در پیام های خصوصی بین کاربران باشد – حتی بیشتر هنگام صحبت در مورد برنامه های متخصص در” Kinks “.
این تصویر از یک کاربر BDSM People به دیگری در یک پیام خصوصی ارسال شده است. محل ذخیره سازی که در آن کشف شد هیچ رمز عبور ندارد و رمزگذاری نشده است (تصویر ویرایش شده برای حفظ حریم خصوصی)
برنامه دوستیابی Chica در ارتباط زنان با مردان ثروتمند تخصص دارد و 80،000 بار بارگیری شده است. کد این برنامه تقریباً 45 گیگابایت داده ها از جمله 133،000 تصویر از کاربران برنامه به بیرون درز شد که برخی از آنها در پیام های مستقیم به صورت خصوصی به اشتراک گذاشته شدند
“با این حال ، اولین واکنش من وقتی برای اولین بار در مورد یکی از این برنامه ها تحقیق کردم ، شوک بود ، زیرا انتظار نداشتم تصویری از یک مرد برهنه را باز کنم.”
افراد BDSM به تنهایی بیش از 200،000 بار بارگیری شده اند و این نشان می دهد که ممکن است تعداد زیادی از افراد تحت تأثیر قرار گرفته باشند.
به همین ترتیب ، برنامه Chica – دوستیابی لوکس انتخابی ، که متخصص در اتصال زنان با مردان ثروتمند است ، حاوی پیوندی به یک سطل ذخیره سازی حاوی 133،000 تصویر از کاربران برنامه است.
تعدادی از برنامه های پذیرایی از جامعه LGBT نیز تحت تأثیر قرار گرفتند ، از جمله Translove ، Pink و Brish.
در مجموع ، این سه برنامه بیش از 1.1 میلیون تصویر کاربر را در معرض دید قرار دادند.
این شامل هزاران تصویر بود که بین کاربران در پیام های خصوصی ارسال شده بود.
اگرچه خود تصاویر حاوی هیچ اطلاعاتی در شناسایی نیستند و به حساب های خاص مرتبط نیستند ، اما بازیگران مخرب هنوز هم می توانند افراد پشت تصاویر را کشف کنند.
آقای نظارواس می گوید: “تصاویر حساس NSFW (برای کار بی خطر نیست) تصاویر اغلب برای اهداف باج خواهی و همچنین تلاش برای بی اعتبار کردن افراد در زمینه های حرفه ای استفاده می شود.
تعدادی از سایت های متخصص در دوستیابی LGBT نیز تحت تأثیر قرار گرفتند ، از جمله Translove ، Pink و Brish. در مجموع این برنامه ها بیش از یک میلیون عکس کاربر فاش کردند
این تصویر در یک پیام خصوصی در برنامه Translove ارسال شد و به دلیل نقص های امنیتی بصورت آنلاین در دسترس عموم بود. محققان هشدار می دهند که از این نوع تصاویر می توان برای اهداف باج خواهی یا اخاذی استفاده کرد
“در موارد برنامه های LGBTQ+ که تحت تأثیر قرار گرفته اند ، ممکن است برخی از کاربران در مورد جنسیت خود عمومی نباشند ، و تصاویر این طبیعت که توسط احزاب غیرمجاز قابل دسترسی است می تواند پاسخ های عاطفی شدیدی ایجاد کند.”
در کشورهایی که همجنسگرایی غیرقانونی است ، این خطر وجود دارد که کاربران در معرض دید در نتیجه شناسایی آنها با پیگرد قانونی روبرو شوند.
Mad Mobile اظهار داشت که بارگیری گسترده داده های کاربر توسط یک بازیگر مخرب در سرورهای خود قابل توجه بوده و این مورد شناسایی نشده است.
نگران کننده ، تحقیقات CyberNews نشان می دهد که این نوع نقص های امنیتی ممکن است به طرز تکان دهنده ای در فروشگاه App Apple متداول باشد.
محققان 156،000 برنامه iOS ، حدود هشت درصد از فروشگاه App را بارگیری کردند و دریافتند که اکثریت قریب به اتفاق همین مسئله امنیتی را دارند.
از برنامه های مورد تجزیه و تحلیل ، 7.1 درصد حداقل یک “راز” را با میانگین برنامه در معرض 5.2 در معرض دید قرار دادند.