Истражувачи за сајбер безбедност открија дека речиси 1,5 милиони фотографии од специјализирани апликации за состаноци – од кои многу се експлицитни – биле јавно достапни на интернет без никаква заштита со лозинка, оставајќи ги корисниците целосно изложени на хакери и потенцијални уценувачи.
Фотографиите биле поврзани со пет апликации развиени од M.A.D Mobil: BDSM People и Chica, насочени кон фетиш заедницата, како и ЛГБТ апликациите Pink, Brish и Translove. Овие платформи ги користат околу 800.000 до 900.000 луѓе ширум светот, пренесува Би-Би-Си.
Секој со пристап до соодветната врска можел да ги прегледа сликите, вклучително и оние што корисниците ги испратиле приватно, па дури и фотографиите што биле отстранети од модераторите. Овие датотеки не биле заштитени со лозинка, ниту шифрирани, што значи дека биле лесно достапни за секој што знаел каде да бара.
Компанијата M.A.D Mobil првпат била предупредена за безбедносниот пропуст на 20 јануари, но не презела никакви мерки сè до минатиот петок, кога ја контактирал Би-Би-Си. Дури тогаш ја отстраниле ранливоста, но не објасниле како настанала грешката ниту зошто толку долго ги игнорирале предупредувањата на истражувачите.
Етичкиот хакер Арас Назаровас од веб-страницата Cybernews прв го идентификувал безбедносниот пропуст, анализирајќи го кодот на апликацијата и пронаоѓајќи ја локацијата каде што се чувале сликите. Тој бил шокиран кога открил дека може да пристапи до папките без никаква автентикација.
„Првата апликација што ја проверив беше BDSM People, а првата слика во папката беше на потполно гол маж, на возраст од околу триесет години. Веднаш ми беше јасно дека оваа папка не треба да биде јавна“, изјави Назаровас.
Тој предупреди дека нешифрираниот и неовластениот пристап до ваква содржина претставува сериозен ризик за корисниците – злонамерните хакери би можеле да ги преземат фотографиите и да ги користат за уцена. Особено ранливи се корисниците кои живеат во земји непријателски настроени кон ЛГБТ заедницата.
Добрата вест е што текстуалната содржина на пораките не била изложена на ист начин, ниту пак фотографиите биле поврзани со вистински имиња или кориснички сметки, што го отежнува таргетирањето на одредени поединци. Сепак, ризикот останува.
M.A.D Mobil му се заблагодари на Назаровас за откривањето на пропустот, наведувајќи дека ги презеле „неопходните чекори“ за решавање на проблемот и најавија дополнителни ажурирања на апликациите во наредните денови.
Сепак, компанијата не одговори на прашањата за тоа каде се наоѓаат нивните централи, ниту зошто го игнорирале проблемот сè до јавниот притисок. Истражувачите за безбедност обично чекаат компанијата да ја поправи ранливоста пред да ги објават своите наоди, за да не ги загрозат дополнително корисниците. Во овој случај, тимот на Cybernews решил да ги објави деталите додека ранливоста сè уште постоела, сметајќи дека компанијата не реагира доволно брзо.
„Одлуката не беше лесна, но веруваме дека јавноста има право да знае и да се заштити“, истакна Назаровас.
Овој случај потсетува на познатиот сајбер-напад од 2015 година, кога хакери украдоа огромен број податоци од веб-страницата Ashley Madison, платформа наменета за луѓе кои сакаат да ги изневерат своите партнери. Ова предизвика меѓународен скандал и стотици случаи на уцени.