רשלנות של יישום מעקב אחר ילדים חושף מיליוני קבצי משתמש

This post is also available in: English (אנגלית)

אפליקציית בקרת ההורים "KidSecurity", המאפשרת להורה לעקוב אחר ילדיו, חשפה את יומני הפעילות שלה וסיכנה את נתוני הילדים.

לאפליקציית KidSecurity יש יותר ממיליון הורדות בחנות היישומים, מאפשרת להורים לעקוב אחר מיקום הילדים שלהם, להאזין לצלילים מסביב לילד ולהגדיר הגבלות למשחקים, ויש לו יותר ממיליון הורדות ב-Google Play. מוקדם יותר בספטמבר, חוקרים גילו כי האפליקציה נכשלה בהגדרות האותנטיקציה עבור אוספי ה-Elasticsearch וה-Logstash שלה (כלים נפוצים לתיעוד לוגים וניתוח נתונים).

על פי Cybernews, הפספוס הזה הותיר יומני פעילות של משתמשים זמינים וחשופים לכל משתמש באינטרנט במשך יותר מחודש. הנתונים שנחשפו הכילו יותר מ-300 מיליון רשומות עם פרטי משתמשים, כולל 21,000 מספרי טלפון ו-31,000 כתובות דואר אלקטרוני. יומני הרישום של האפליקציה אף חשפו את פרטי התשלום של המשתמשים, והציגו את שש הספרות הראשונות והאחרונות של כרטיסי האשראי, תוקף ואת הבנק.

יתר על כן, ישנם סימנים שגורמי איום לא ידועים הגיעו לנתוני KidSecurity שהודלפו, כאשר המופע הפתוח נפגע על ידי בוט "Readme" והושמד חלקית. אתר Cybernews מסביר כי מופעים פתוחים נפגעים ללא הרף על ידי בוטנטים זדוניים ולאחר מכן מושמדים באופן אוטומטי. כחלק מכך, קובץ ה-"Readme" מוזרק לשרת ה-Elasticsearch, ומכיל הודעת כופר וכתובת BTC להעברת התשלום בתמורה לקבצים.

בוב דיאצ'נקו, שזיהה לראשונה את הדליפה, אמר: "החשיפה של נתונים רגישים, כמו כתובות דוא"ל של משתמשים, מספרי טלפון ומידע על תשלומים ביישום מעקב אחר ילדים, היא בעלת חשיבות עליונה בשל הסיכונים הפוטנציאליים שהיא מציבה. בידיים הלא נכונות, גורמי איום עלולים לנצל לרעה מידע זה לצורך גניבת זהות, הונאה ועסקאות פיננסיות בלתי מורשות, ולהעמיד ילדים ובני משפחותיהם בסיכון משמעותי. למרות שפרטי המיקום לא נחשפו במקרה זה, הדליפה עדיין מייצגת הפרה חמורה של הפרטיות והאבטחה עבור המשתמשים המושפעים".