Groot privacyschending in niche datingapps legt gevoelige gebruikersfoto's bloot
Als onderdeel van een grootschalig onderzoek naar beveiligingslekken in iOS apps, heeft Cybernews opvallende problemen ontdekt die mogelijk hebben geleid tot een grootschalig lek van privéfoto's van een aantal niche dating apps, allemaal van ene M.A.D. Mobile. Deze foto's waren niet alleen afkomstig van openbare profielen en berichten, maar ook van chats van gebruikers, en zelfs van foto's die door moderators waren verwijderd. Onnodig te zeggen dat veel van deze foto's expliciet van aard waren.
Vijf apps van M.A.D. Mobile werden getroffen - BDSM People, luxe 'sugar dating' app Chica, en LGBT apps Pink, Brish en Translovefound. Al deze apps gebruikten niet alleen een identieke architectuur, maar hadden ook kritieke beveiligingsgegevens openlijk als platte tekst in de app-code achtergelaten. Het waren deze geheime sleutels die de onderzoekers naar de Google Cloud Storage-emmers leidden waar de foto's lagen zonder enige vorm van versleuteling of wachtwoordbeveiliging. Dit betekende dat iedereen met de URL (die openbaar was gemaakt) toegang had kunnen krijgen tot de media.
Natuurlijk zijn privéfoto's altijd potentieel blootgesteld aan kwaadwillende actorenbestaat het risico op intimidatie, afpersing en reputatieschade. De gevolgen van een privacyschending zouden waarschijnlijk veel erger zijn voor gebruikers van gespecialiseerde datingapps, vooral omdat homoseksualiteit in veel landen illegaal is.
De omvang van het lek is duizelingwekkend: meer dan 1,5 miljoen door gebruikers geüploade foto's, oftewel honderden gigabytes aan gegevens. Het is een klein geluk dat de blootgelegde gegevens geen gebruikersidentiteiten, gebruikersnamen, e-mails of berichten bevatten, maar een eenvoudige omgekeerde zoekactie naar afbeeldingen zou daar gemakkelijk omheen kunnen werken. Opmerkelijk is dat alle vijf apps exclusief iOS zijn, zonder Android of webversies.
De onderzoekers van Cybernews hebben in januari voor het eerst contact opgenomen met M.A.D. Mobile, maar het lek bleef onopgelost. Uit angst voor voortdurende passiviteit van de kant van het bedrijf, en tegen zijn eigen standaardpraktijk in, besloot Cybernews om te publiceren van het probleem te publiceren voordat het opgelost was. Pas nadat de BBC een e-mail naar het bedrijf stuurde, antwoordde een vertegenwoordiger dat het probleem was opgelost dat een vertegenwoordiger antwoordde dat het probleem inderdaad was opgelost en de onderzoekers bedankte voor hun hulp.
Dit incident benadrukt alleen maar wat velen op het gebied van cyberbeveiliging al weten: iOS-apps van derden zijn in geen geval inherent veilig tegen datalekken. Het onderzoek van Cybernews een verontrustend inzicht. Van de 156.000 onderzochte apps (oftewel 8% van alle apps in de Apple Store) bleek 71% minstens één geheim bloot te leggen. De code van de gemiddelde app onthulde 5,2 geheimen.
De grootste afleiding van dit incident is dat gebruikers het gebruik van apps van onbekende uitgevers helemaal moeten vermijden, vooral als het om zeer gevoelige informatie gaat. In het bijzonder moeten gevoelige media alleen worden gedeeld op versleutelde platforms en diensten die niet alleen een zekere mate van bescherming bieden, maar ook publieke verantwoording.
