Onderzoekers hebben ontdekt dat bijna 1,5 miljoen foto’s van gespecialiseerde datingtoepassingen – waarvan veel seksueel zijn – online worden opgeslagen zonder wachtwoordbescherming, waardoor ze kwetsbaar worden voor hackers en chantage. Iedereen die de link had, kon privéfoto’s zien van vijf platforms ontwikkeld door Mad Mobile: Kink BDSM People and ChICA -websites, en LGBT Pink, Brish en translove -applicaties. Deze diensten worden gebruikt door ongeveer 800.000 tot 900.000 mensen.
Mad Mobile werd voor het eerst gewaarschuwd voor het beveiligingsdefect op 20 januari, maar nam geen actie totdat de BBC vrijdag een e-mail stuurde. Sindsdien hebben ze het gecorrigeerd, maar ze hebben niet gezegd hoe het gebeurde of waarom ze de gevoelige beelden niet konden beschermen. De morele hacker Aras Nazarovas van CyberNews waarschuwde het bedrijf eerst voor de beveiligingskloof na het vinden van de locatie van de online opslagruimte die door applicaties wordt gebruikt door de code te analyseren die de services levert. Hij was geschokt door het feit dat hij zonder wachtwoord toegang kon hebben tot niet-gecodeerde en niet-beperkte foto’s.
De afbeeldingen waren niet alleen tot hen beperkt door de profielen, zei hij – bevatte afbeeldingen opgenomen die privé werden verzonden naar berichten, zelfs sommige die door de coördinatoren werden verwijderd. Nazarovas zei dat de ontdekking van onbekend gevoelig materiaal gepaard gaat met een aanzienlijk risico voor platformgebruikers. Hackers hadden de afbeeldingen kunnen vinden en mensen chanteren. Er is ook een risico voor mensen die in LGBT-vijandige landen wonen.
Geen van de inhoud van de tekst van privéberichten bleek op deze manier te worden opgeslagen en de afbeeldingen worden niet genoemd door gebruikersnamen of echte namen, waardoor gebruikers complexer zouden worden. In een e-mail zei Mad Mobile dat ze de onderzoeker dankbaar was voor het bekendmaken van de kwetsbaarheid om datalek te voorkomen. Maar er is geen garantie dat de heer Nazarovas de enige hacker was die de schuilplaats vond.
“We waarderen hun werk en we hebben al de nodige maatregelen genomen om het probleem aan te pakken,” zei een gekke mobiele woordvoerder. “Een extra update over applicaties wordt de komende dagen in de App Store uitgebracht.” Het bedrijf beantwoordde geen verdere vragen over waar het bedrijf is gevestigd en waarom het maanden duurde om het probleem na meerdere waarschuwingen van onderzoekers aan te pakken. Meestal wachten beveiligingsonderzoekers tot een kwetsbaarheid is gecorrigeerd voordat een online rapport wordt gepubliceerd als het gebruikers op een verder aanvalsrisico plaatst. Maar de heer Nazarovas en zijn team besloten donderdag een alarm te alarmeren, terwijl de kwestie nog leefde, omdat ze zich zorgen maakten dat het bedrijf niets deed om het te corrigeren. “Het is altijd een moeilijke beslissing, maar wij geloven dat het publiek moet weten om zichzelf te beschermen,” zei hij.
