Σοβαρό ζήτημα παραβίασης προσωπικών δεδομένων προέκυψε, καθώς ερευνητές ανακάλυψαν ότι σχεδόν 1,5 εκατομμύριο φωτογραφίες από εξειδικευμένες εφαρμογές γνωριμιών βρέθηκαν αποθηκευμένες στο διαδίκτυο χωρίς κανέναν απολύτως κωδικό πρόσβασης. Πολλές από αυτές τις φωτογραφίες ήταν αποκαλυπτικές, γεγονός που τις καθιστούσε ευάλωτες σε χάκερ και πιθανές εκβιαστικές πρακτικές.
Οι φωτογραφίες προέρχονται από πέντε εφαρμογές της εταιρείας M.A.D Mobile: τις BDSM People και Chica, που αφορούν φετ1χιστικό περιεχόμενο, καθώς και τις LGBT εφαρμογές Pink, Brish και Translove. Οι συγκεκριμένες πλατφόρμες χρησιμοποιούνται από περίπου 800.000 έως 900.000 άτομα, γεγονός που κάνει τη διαρροή ακόμα πιο ανησυχητική.
Ένα σοβαρό κενό ασφαλείας που αγνοήθηκε για εβδομάδες
Το ανησυχητικό είναι ότι η M.A.D Mobile είχε ειδοποιηθεί για το κενό ασφαλείας ήδη από τις 20 Ιανουαρίου, όμως δεν προέβη σε καμία ενέργεια μέχρι να δεχθεί ερωτήσεις από το BBC, αρκετές εβδομάδες αργότερα. Μετά τη δημοσιογραφική έρευνα, η εταιρεία διόρθωσε το ζήτημα, αλλά μέχρι στιγμής δεν έχει δώσει σαφείς απαντήσεις για το πώς προέκυψε η διαρροή ούτε γιατί τα δεδομένα των χρηστών έμειναν εκτεθειμένα για τόσο μεγάλο χρονικό διάστημα.
Ο “ηθικός” χάκερ που εντόπισε το πρόβλημα
Το σοβαρό κενό ασφαλείας εντόπισε πρώτος ο “ηθικός” χάκερ Aras Nazarovas από το Cybernews. Αναλύοντας τον κώδικα των εφαρμογών, κατάφερε να βρει την τοποθεσία του διαδικτυακού αποθηκευτικού χώρου όπου φυλάσσονταν οι φωτογραφίες. Όπως δήλωσε στο BBC, σοκαρίστηκε όταν αντιλήφθηκε πως μπορούσε να αποκτήσει πρόσβαση σε μη κρυπτογραφημένες και μη προστατευμένες εικόνες χωρίς κανέναν κωδικό πρόσβασης.
“Η πρώτη εφαρμογή που εξέτασα ήταν η BDSM People και η πρώτη εικόνα στον φάκελο ήταν ένας γυμνός άνδρας γύρω στα τριάντα”, ανέφερε ο Nazarovas. “Από την πρώτη στιγμή κατάλαβα πως αυτός ο φάκελος δεν έπρεπε σε καμία περίπτωση να είναι δημόσιος.”
Σύμφωνα με τον χάκερ, οι εικόνες δεν περιορίζονταν μόνο στις φωτογραφίες των προφίλ, αλλά περιλάμβαναν και ιδιωτικές φωτογραφίες που είχαν σταλεί μέσω μηνυμάτων – ακόμα και υλικό που είχε αφαιρεθεί από τους διαχειριστές των εφαρμογών. Αν και το περιεχόμενο των συνομιλιών δεν βρέθηκε αποθηκευμένο με τον ίδιο τρόπο, το γεγονός ότι ιδιωτικές εικόνες παρέμεναν προσβάσιμες για τόσο μεγάλο διάστημα είναι άκρως ανησυχητικό.
Ανησυχία για την ασφάλεια των χρηστών
Αν και οι εικόνες δεν έφεραν εμφανή ονόματα χρηστών ή προσωπικά δεδομένα, κάτι που θα δυσκόλευε στοχευμένες επιθέσεις, η διαρροή γεννά σοβαρά ερωτήματα για την προστασία των δεδομένων στις εφαρμογές γνωριμιών. Οι χρήστες αυτών των πλατφορμών συχνά μοιράζονται προσωπικές και ιδιωτικές στιγμές, βασιζόμενοι στις πολιτικές ασφαλείας των εφαρμογών.
“Δεν υπάρχει καμία εγγύηση ότι ο Nazarovas ήταν ο μόνος χάκερ που είχε πρόσβαση σε αυτό το υλικό”, σημειώνουν ειδικοί στον τομέα της κυβερνοασφάλειας. Εάν κακόβουλοι χάκερ είχαν εντοπίσει το ίδιο κενό ασφαλείας πριν από τον “ηθικό” χάκερ, το υλικό θα μπορούσε να χρησιμοποιηθεί για εκβιασμό ή εκμετάλλευση των χρηστών.
Η αντίδραση της M.A.D Mobile
Η εταιρεία, μετά την αποκάλυψη, επικοινώνησε με τον χάκερ και τον ευχαρίστησε για την ενημέρωση σχετικά με το σφάλμα. Ωστόσο, δεν έχει ξεκαθαρίσει γιατί δεν έδρασε άμεσα όταν ειδοποιήθηκε αρχικά ούτε ποιες κινήσεις θα κάνει για να διασφαλίσει ότι τέτοια περιστατικά δε θα επαναληφθούν στο μέλλον.
Το γεγονός αυτό αποτελεί μια ακόμα υπενθύμιση για τους χρήστες των εφαρμογών γνωριμιών ότι τα προσωπικά δεδομένα τους μπορεί να διαρρεύσουν και να χρησιμοποιηθούν με τρόπους που δεν μπορούν να ελέγξουν. Παράλληλα, εγείρει ερωτήματα για το κατά πόσο οι ίδιες οι εφαρμογές λαμβάνουν τα απαραίτητα μέτρα για να προστατεύσουν τους χρήστες τους από τέτοιες παραβιάσεις.
Αυτό το συμβάν αποτελεί μια ισχυρή υπενθύμιση ότι η ιδιωτικότητα στο διαδίκτυο δεν είναι ποτέ δεδομένη και ότι η προστασία προσωπικών δεδομένων είναι ευθύνη τόσο των εταιρειών όσο και των χρηστών. Οι χρήστες των εφαρμογών γνωριμιών θα πρέπει να είναι ιδιαίτερα προσεκτικοί με το τι μοιράζονται online και να ενημερώνονται για τις πολιτικές ασφαλείας των πλατφορμών που χρησιμοποιούν.
