A biztonsági rés felfedezése
A M.A.D Mobile-t először január 20-án figyelmeztették a biztonsági résre, de csak akkor léptek, miután a BBC emailt küldött nekik múlt pénteken. Azóta kijavították a hibát, de nem közölték, hogyan történhetett meg, vagy miért nem védték megfelelően az érzékeny képeket.
Aras Nazarovas, etikus hacker a Cybernews-tól, elsőként figyelmeztette a céget, miután az alkalmazásokat működtető kód elemzése során megtalálta az online tárhely helyét. Megdöbbentette, hogy jelszó nélkül is hozzáférhetett a titkosítatlan és védtelen fotókhoz.
“Az első alkalmazás, amit vizsgáltam, a BDSM People volt, és a mappában az első kép egy harmincas éveiben járó meztelen férfié volt,” mondta. “Amint megláttam, rájöttem, hogy ez a mappa nem lehetett volna nyilvános.”
A képek nem csak a profilokból származtak – olyan fotókat is tartalmaztak, amelyeket privát üzenetekben küldtek, sőt olyanokat is, amelyeket a moderátorok eltávolítottak.
Veszélyek és következmények
Nazarovas szerint a védtelen érzékeny anyagok felfedezése jelentős kockázatot jelent a platformok felhasználói számára. Rosszindulatú hackerek megtalálhatták volna a képeket, és zsarolhatták volna az érintetteket. Különösen veszélyeztetettek azok, akik LMBTQ-ellenes országokban élnek.
A privát üzenetek szöveges tartalmát nem tárolták jelszóval védett módon, és a képek nincsenek felhasználónevekkel vagy valódi nevekkel címkézve, ami megnehezítené a célzott támadások kivitelezését.
A M.A.D Mobile emailben azt közölte, hogy hálás a kutatónak a sérülékenység feltárásáért. “Értékeljük a munkáját, és már megtettük a szükséges lépéseket a probléma kezelésére,” mondta egy szóvivő. “Az alkalmazások további frissítéseit a következő napokban tesszük közzé az App Store-ban.”
A cég nem válaszolt további kérdésekre, például arra, hogy hol működik, vagy miért tartott hónapokig a probléma megoldása a többszöri figyelmeztetés után.
