Популярное приложение для семейного слежения в течение нескольких недель сообщало о местонахождении более 238 000 пользователей в режиме реального времени после того, как разработчик оставил сервер открытым без пароля.
Приложение Family Locator, созданное австралийской компанией React Apps, позволяет семьям отслеживать друг друга в режиме реального времени, например, супруги или родители, желающие узнать, где находятся их дети. Он также позволяет пользователям настраивать оповещения с геозоной для отправки уведомления, когда член семьи входит или покидает определенное место, например, школу или работу.
Но внутренняя база данных MongoDB осталась незащищенной и доступной любому, кто знал, где искать.
Саньям Джейн, исследователь безопасности и член Фонда GDI, нашел базу данных и сообщил о результатах TechCrunch.
На основании обзора базы данных каждая запись учетной записи содержала имя пользователя, адрес электронной почты, фотографию профиля и их незашифрованные пароли. Каждая учетная запись также хранит записи о местонахождении их и других членов семьи в режиме реального времени с точностью до нескольких футов. Любой пользователь, у которого была настроена геозона, также сохранял эти координаты в базе данных вместе с тем, что пользователь назвал их - например, «дом» или «работа».
Ни одна из данных не была зашифрована.
TechCrunch проверил содержимое базы данных, загрузив приложение и зарегистрировавшись, используя фиктивный адрес электронной почты. Через несколько секунд наше местоположение в реальном времени появилось в виде точных координат в базе данных.
Мы случайно связались с одним пользователем приложения, который, хотя и был удивлен и поражен результатами, подтвердил TechCrunch, что координаты, найденные под его записью, были точными. Пользователь из Флориды, который не хотел называться, сказал, что база данных является местом их бизнеса. Пользователь также подтвердил, что член семьи, указанный в приложении, был их ребенком, учеником в соседней средней школе.
Несколько других записей, которые мы рассмотрели, также включали информацию о местонахождении родителей и их детей в режиме реального времени.
TechCrunch провел неделю, пытаясь связаться с разработчиком React Apps, но безрезультатно. На веб-сайте компании не было контактной информации. На сайте была скрытая запись WHOIS с включенной конфиденциальностью, маскирующая адрес электронной почты владельца. Мы даже купили деловые записи компании у Австралийской комиссии по ценным бумагам и инвестициям только для того, чтобы узнать имя владельца компании - Сандип Манн Сингх, но без контактной информации. Мы отправили несколько сообщений через форму обратной связи компании, но не получили подтверждения.
В пятницу мы попросили Microsoft, которая разместила базу данных в своем облаке Azure, связаться с разработчиком. Через несколько часов база данных была окончательно отключена.
Точно неизвестно, как долго была доступна база данных. Сингх до сих пор не признал утечку данных.