Приложенията за запознанства Kink и LGBT разкриха изображения на 1,5 млн. частни потребители онлайн
Близо 1,5 милиона снимки от специализирани приложения за запознанства се съхраняват онлайн без защита с парола, което ги прави уязвими за хакери и изнудвачи, пише BBC.
Всеки може да види частните снимки от пет платформи, разработени от M.A.D Mobile: кинк сайтове BDSM People и Chica, и ЛГБТ приложения - Pink, Brish и Translove.
Тези услуги се използват от приблизително 800 000 до 900 000 души.
M.A.D Mobile беше предупреден за пропуска в сигурността за първи път на 20 януари, но не предприе действия, докато BBC не изпрати имейл в петък.
Оттогава те го поправиха, но не казаха как се е случило или защо не са успели да защитят чувствителните изображения.
Етичният хакер Арас Назаровас от Cybernews първо предупреди фирмата за дупката в сигурността, след като намери местоположението на онлайн хранилището, използвано от приложенията, като анализира кода, който захранва услугите.
Той беше шокиран, че може да получи достъп до некриптираните и незащитени снимки без парола.
„Първото приложение, което проучих, беше BDSM People и първото изображение в папката беше гол мъж на трийсет години", каза той.
„Веднага щом го видях, разбрах, че тази папка не трябваше да бъде публична."
Изображенията не са ограничени до тези от профили, каза той - те включват снимки, които са били изпратени на лични в съобщения, и дори някои, които са били премахнати от модераторите.
Г-н Назаровас каза, че откриването на незащитен чувствителен материал е свързано със значителен риск за потребителите на платформите.
Злонамерени хакери може да са намерили изображенията и да са изнудвали лица.
Съществува риск и за тези, които живеят в страни, враждебни към ЛГБТ хората.
Не е установено, че текстовото съдържание на личните съобщения се съхранява по този начин и изображенията не са етикетирани с потребителски имена или истински имена, което би направило изработването на целеви атаки срещу потребителите по-сложно.
В имейл M.A.D Mobile коментира, че е благодарен на изследователя за разкриването на уязвимостта в приложенията, за да предотврати възникването на нарушение на данните.
Но няма гаранция, че г-н Назаровас е единственият хакер, който е открил скривалището на изображението.
„Оценяваме тяхната работа и вече сме предприели необходимите стъпки за справяне с проблема", каза говорител на M.A.D Mobile. „Допълнителна актуализация за приложенията ще бъде пусната в App Store през следващите дни."
Компанията не отговори на допълнителни въпроси за това къде се намира компанията и защо са отнели месеци, за да се справи с проблема след множество предупреждения от изследователи.
Обикновено изследователите по сигурността изчакват уязвимостта да бъде коригирана, преди да публикуват онлайн доклад, в случай че излага потребителите на допълнителен риск от атака.
Но г-н Назаровас и неговият екип решиха да вдигнат тревога в четвъртък, докато проблемът все още беше актуален, тъй като бяха загрижени, че компанията не прави нищо, за да го поправи.
През 2015 г. злонамерени хакери откраднаха голямо количество клиентски данни за потребителите на Ashley Madison, уебсайт за запознанства за женени хора, които искат да изневерят на съпруга си.