This post is also available in:
יישום נייד שנועד לסייע למשתמשי אייפון להתגבר על נדודי שינה נמצא כי חשף נתוני משתמשים רגישים, מה שמעלה חששות רציניים לגבי פרטיות ואבטחת סייבר. חוקרים מ-Cybernews גילו כי Sleep Journey: Insomnia Helper, אפליקציית iOS שנועדה לשפר את איכות השינה, הותירה חשוף מידע בריאותי אישי של יותר מ-25,000 משתמשים בגלל backend לא מוגדר כראוי.
הנתונים שנחשפו כללו שמות מלאים, כתובות דוא"ל, תאריכי לידה, מין, דפוסי שינה, מידע על שימוש באלכוהול, ניקוטין ותרופות. פעילויות שבוצעו לפני השינה ופרטים התנהגותיים אחרים הודלפו גם הם. הנתונים אוחסנו בשרת Firebase לא מאובטח כראוי – פלטפורמת מסד נתונים בענן הנמצאת בשימוש נרחב על ידי יישומים ניידים.
בנוסף להדלפת מידע על משתמשים, האפליקציה חשפה גם סודות פיתוח פנימיים משלה בקוד של צד הלקוח. אלה כללו מפתחות API, כתובות URL של מסדי נתונים, מזהי Google App ומזהה פרוייקט – פרטים שיכולים להיות מנוצלים על ידי תוקפים כדי לגשת לשירותים אחוריים, להתחזות לאפליקציה, או להפעיל פעולות על חשבון מפעיל האפליקציה.
החשיפה של נתונים אישיים והתנהגותיים מהאפליקציה מגדילה באופן משמעותי את הסיכון להתקפות סייבר ממוקדות. עם גישה לשמות, כתובות דואר אלקטרוני, תאריכי לידה ומידע בריאותי מפורט, גורמים זדוניים יכולים ליצור הודעות דואר אלקטרוני משכנעות מאוד של פישינג או קמפיינים של הנדסה חברתית. לדוגמה, תוקפים יכולים להתחזות לספקי שירותי בריאות או לצוותי תמיכה באפליקציות, תוך התייחסות להרגלי משתמש ספציפיים כדי לזכות באמון ולחלץ מידע או אישורים נוספים. הזמינות של פרטים אלה, בשילוב עם סודות אפליקציה שהודלפו כגון מפתחות API וכתובות URL של מסדי נתונים, יוצרת הזדמנות מסוכנת ל-credential stuffing, הספמה ואפילו גניבת זהות, במיוחד אם הסיסמאות או כתובות הדואר האלקטרוני שהשתמשו בהם מקושרות לחשבונות מקוונים אחרים.
המקרה של Sleep Journey מדגיש את החשיבות של קונפיגורציות אבטחה חזקות – במיוחד באפליקציות שאוספות נתוני בריאות רגישים. אמנם כלים אלה נועדו לשפר את הרווחה, אך הם יכולים בקלות להפוך לבעיה לפרטיות כאשר מתעלמים מהגנות בסיסיות.


























