Aplikasi Yang Membocorkan Data Serta Lokasi

Comon Tech - Aplikasi  Yang Membocorkan Data Serta Lokasi pelacakan keluarga populer membocorkan lokasi real-time lebih dari 238.000 pengguna selama berminggu-minggu setelah pengembang meninggalkan server terbuka tanpa kata sandi.Aplikasi, Family Locator, dibangun oleh rumah perangkat lunak yang berbasis di Australia React Apps, memungkinkan keluarga untuk saling melacak secara real-time, seperti pasangan atau orang tua yang ingin tahu di mana anak-anak mereka. Itu juga memungkinkan pengguna mengatur peringatan geofenced untuk mengirim pemberitahuan ketika anggota keluarga memasuki atau meninggalkan lokasi tertentu, seperti sekolah atau kantor.

Tetapi database MongoDB backend dibiarkan tidak terlindungi dan dapat diakses oleh siapa saja yang tahu ke mana harus mencari.Sanyam Jain, seorang peneliti keamanan dan anggota Yayasan GDI, menemukan database dan melaporkan temuannya ke TechCrunch.

Aplikasi Yang Membocorkan Data

Berdasarkan peninjauan basis data, setiap catatan akun berisi nama pengguna, alamat email, foto profil, dan kata sandi plaintext mereka. Setiap akun juga menyimpan catatan lokasi waktu mereka sendiri dan anggota keluarga lainnya yang tepat hanya beberapa meter. Setiap pengguna yang memiliki geofence diatur juga memiliki koordinat tersebut disimpan dalam database, bersama dengan apa yang disebut pengguna - seperti "rumah" atau "bekerja."

Tidak ada data yang dienkripsi.Tech Crunch memverifikasi isi database dengan mengunduh aplikasi dan mendaftar menggunakan alamat email dummy. Dalam hitungan detik, lokasi waktu nyata kami muncul sebagai koordinat tepat dalam database.

Aplikasi Yang Membocorkan Data Serta Lokasi

Kami menghubungi satu pengguna aplikasi secara acak yang, walaupun terkejut dan kaget dengan temuan tersebut, mengonfirmasi kepada TechCrunch bahwa koordinat yang ditemukan di bawah catatan mereka akurat. Pengguna yang berbasis di Florida, yang tidak mau disebutkan namanya, mengatakan bahwa database adalah lokasi bisnis mereka. Pengguna juga mengonfirmasi bahwa anggota keluarga yang tercantum dalam aplikasi adalah anak mereka, seorang siswa di sekolah menengah terdekat.

Beberapa catatan lain yang kami ulas juga mencakup lokasi orang tua dan anak-anak mereka secara waktu nyata.

Tech Crunch menghabiskan seminggu mencoba menghubungi pengembang, Bereaksi Aplikasi, tetapi tidak berhasil. Situs web perusahaan tidak memiliki informasi kontak - juga kebijakan privasi tanpa tulang. Situs web ini memiliki catatan WHOIS tersembunyi yang diaktifkan privasi, menutupi alamat email pemilik. Kami bahkan membeli catatan bisnis perusahaan dari Komisi Sekuritas & Investasi Australia, hanya untuk mengetahui nama pemilik perusahaan - Sandip Mann Singh - tetapi tidak ada informasi kontak. Kami mengirim beberapa pesan melalui formulir umpan balik perusahaan, tetapi tidak menerima pemberitahuan.

Pada hari Jumat, kami meminta Microsoft, yang meng-host database di cloud Azure-nya, untuk menghubungi pengembang. Beberapa jam kemudian, database akhirnya ditarik offline.

Tidak diketahui secara pasti berapa lama database dibuka

Singh masih belum mengakui kebocoran data. Aplikasi pelacakan keluarga bisa sangat membantu jika Anda khawatir tentang anak-anak atau pasangan Anda, tetapi mereka bisa menjadi mimpi buruk jika data itu jatuh ke tangan yang salah. Peneliti keamanan Sanyam Jain telah mengungkapkan kepada TechCrunch bahwa React Family Locator Apps meninggalkan data lokasi real-time (plus info pribadi sensitif lainnya) untuk lebih dari 238.000 orang yang terpapar selama berminggu-minggu dalam database yang tidak aman. Itu menunjukkan posisi dalam beberapa meter, dan bahkan menunjukkan nama untuk area geofenced yang digunakan untuk memberikan peringatan. Anda bisa tahu apakah orang tua meninggalkan rumah atau anak tiba di sekolah, misalnya.

Ini tidak terbantu oleh masalah React sendiri dengan akuntabilitas. Situsnya tidak memiliki informasi kontak, dan bahkan catatan WHOIS-nya menutupi alamat email. Pesan melalui formulir umpan balik tidak menghasilkan apa-apa. Basis data tidak offline sampai TechCrunch meminta Microsoft untuk menghubungi pengembang, yang masih belum mengatakan apa-apa tentang kebocoran.

Tidak jelas apakah ada orang di luar atau TechCrunch yang mengakses database.

Meskipun data aman untuk saat ini, insiden tersebut menggambarkan masalah dengan melacak aplikasi secara keseluruhan: sulit untuk memverifikasi bahwa pengembang mengamankan informasi lokasi Anda di setiap langkah. Jika tidak dan ada pelanggaran, itu bisa mengarah pada ancaman nyata yang bisa mencakup bahaya fisik.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel