Auu! Ako ste stavljali slike na ove aplikacije - teško vama: Milioni privatnih fotografija dostupno celom svetu!

Istraživači sajber bezbednosti otkrili su da je skoro 1,5 miliona fotografija sa specijalizovanih aplikacija za upoznavanje – od kojih su mnoge eksplicitnog sadržaja – bilo javno dostupno na internetu bez ikakve zaštite lozinkom, što je korisnike ostavilo potpuno izloženim hakerima i potencijalnim ucenašima.

Fotografije su bile povezane sa pet aplikacija koje je razvila kompanija M.A.D Mobil: BDSM People i Chica, koje ciljaju fetiš zajednicu, kao i LGBT aplikacije Pink, Brish i Translove. Ove platforme koriste procenjenih 800.000 do 900.000 ljudi širom sveta, piše BBC.

Bilo ko sa linkom mogao je da pristupi slikama, uključujući i one koje su korisnici slali privatno, pa čak i one koje su prethodno uklonjene od strane moderatora. Fotografije nisu bile zaštićene lozinkom, niti su bile šifrovane, što znači da su bile lako dostupne svakome ko zna gde da traži.

Prvo upozorenje ignorisano – reagovali tek nakon mejla Bi-Bi-Sija

Kompanija je prvi put upozorena na propust još 20. januara, ali nije preduzela nikakve mere sve do prošlog petka, kada ih je kontaktirao BBC. Tek tada su uklonili ranjivost, ali nisu objasnili kako je došlo do greške, niti zašto su tako dugo ignorisali upozorenja istraživača.

Etnički haker Aras Nazarovas sa sajta Cybernews prvi je identifikovao bezbednosni propust tako što je analizirao kod aplikacija i pronašao lokaciju na kojoj se slike čuvaju. Bio je šokiran što je mogao da pristupi folderima bez ikakve autentifikacije.

- Prva aplikacija koju sam proveravao bila je BDSM People, a prva slika u folderu bila je potpuno nag muškarac u tridesetim. Odmah mi je bilo jasno da ovaj folder ne bi smeo da bude javan - rekao je Nazarovas.

Foto: Shutterstock

Korisnici u riziku od ucena, posebno u zemljama netolerantnim prema LGBT populaciji

Nazarovas upozorava da nešifrovani i neautorizovani pristup ovakvom sadržaju predstavlja ozbiljan rizik po korisnike – zlonamerni hakeri mogli su da preuzmu slike i koriste ih za ucenjivanje. Poseban rizik postoji za korisnike koji žive u državama koje su neprijateljski nastrojene prema LGBT zajednici.

Dobra vest je da tekstualni sadržaj poruka nije bio izložen na isti način, niti su fotografije bile povezane sa stvarnim imenima ili korisničkim nalozima, što donekle otežava ciljanje konkretnih osoba. Ipak, rizik ostaje.

Kompanija M.A.D Mobil zahvalila je Nazarovasu na identifikaciji propusta, navodeći da su preduzeli „neophodne korake“ da problem reše i najavili dodatno ažuriranje aplikacija u narednim danima.

Međutim, nisu odgovorili na pitanja o tome gde im se sedište nalazi, niti zašto su problem ignorisali sve do javnog pritiska.

Istraživači odlučili da javno upozore – bez garancije da hakeri već nisu preuzeli podatke

Bezbednosni istraživači obično čekaju da kompanija reši ranjivost pre nego što objave nalaze, kako ne bi dodatno ugrozili korisnike. U ovom slučaju, tim iz Cybernews-a odlučio je da objavi detalje dok je ranjivost još postojala, jer je smatrao da kompanija ne reaguje dovoljno brzo.

- Odluka nije bila laka, ali smatramo da javnost ima pravo da zna i da zaštiti sebe - rekao je Nazarovas.

Slučaj podseća na poznati sajber-napad iz 2015. godine, kada su hakeri ukrali ogromnu količinu podataka sa sajta Ešli Medison, platforme namenjene osobama koje žele da varaju svoje partnere, što je izazvalo međunarodni skandal i stotine slučajeva ucenjivanja.