Chcieli rzucić pornografię, a ich najskrytsze sekrety wyciekły do sieci. Gigantyczna wpadka twórcy aplikacji, która miała pomóc

To jeden z tych wycieków, który nie kradnie pieniędzy z konta, ale może zniszczyć psychikę.

Aplikacja mająca pomagać w walce z uzależnieniem od pornografii wystawiła na światło dzienne dane ponad 600 tysięcy użytkowników. Wśród nich są zapiski o częstotliwości masturbacji, „wyzwalaczach” seksualnych i stanie emocjonalnym. Co gorsza – 100 tysięcy ofiar to osoby nieletnie.

Spowiedź publiczna

Sprawę nagłośnił serwis 404 Media po zgłoszeniu od niezależnego badacza bezpieczeństwa. Skala zaniedbania jest przerażająca. Aplikacja (której nazwy nie ujawniono, ponieważ luka wciąż nie została łatana) wymagała od użytkowników niezwykłej szczerości. Ludzie traktowali ją jak cyfrowy konfesjonał lub terapeutę.

W bazie danych, która była dostępna dla wszystkich, kto potrafił wysłać odpowiednie zapytanie do serwera, znalazły się przerażająco szczegółowe informacje. Dziennikarze dotarli do rekordu użytkownika, który określił się jako 14-latek. W jego profilu widniało:

• Częstotliwość konsumpcji porno: „kilka razy w tygodniu”.
• Maksimum: „trzy razy dziennie”.
• Wyzwalacze: „nuda” i „popęd seksualny”.
• Objawy odstawienne: „brak motywacji, mgła mózgowa”.

Inny użytkownik pisał wprost: „Po prostu nie daję już rady, nie wiem co robić, jestem takim przegrywem, potrzebuję pomocy”. Te dramatyczne wołania o pomoc stały się publiczne.

Deweloper: „To tylko żart”

Reakcja twórcy aplikacji to podręcznikowy przykład tego, jak NIE reagować na kryzys. Gdy Emanuel Maiberg, dziennikarz 404 Media skontaktował się z nim telefonicznie, deweloper zaprzeczył wyciekowi, twierdząc, iż badacz sfałszował dane. „Żadne wrażliwe informacje nie są ujawnione, to po prostu nieprawda. Tych użytkowników nie ma w mojej bazie, nie poświęcam temu gościowi uwagi. Myślę, iż to jakiś żart” – stwierdził twórca, po czym się rozłączył.

Maiberg zrobił więc jedyną słuszną rzecz: założył konto w aplikacji. Chwilę później badacz bezpieczeństwa potwierdził, iż nowy użytkownik pojawił się w niezabezpieczonej bazie. Kłamstwo dewelopera zostało obnażone w kilka minut. Jednak tu nie chodzi o „jakąś aplikację”. Problem jest systemowy.

Dziurawe wiadro Google i ślepota Apple

W czasie gdy platformy technologiczne deklarują zaostrzenie ochrony nieletnich, do obiegu trafiają aplikacje, które nie spełniają choćby podstawowych standardów bezpieczeństwa danych. Techniczną przyczyną wycieku jest błędna konfiguracja Google Firebase – platformy do tworzenia aplikacji mobilnych. To znany problem: domyślne ustawienia Firebase często sprawiają, iż każdy „uwierzytelniony” użytkownik (czyli każdy, kto po prostu pobrał aplikację) może uzyskać dostęp do całej bazy danych.

Dan Guido, szef firmy cyberbezpieczeństwa Trail of Bits, zauważa, iż Google mógłby łatwo to naprawić, wprowadzając ostrzeżenia o „otwartych regułach”, tak jak zrobił to swego czasu Amazon z usługą S3. Czemu Google tego nie zrobiło? Maiberg zapytał o to giganta z Mountain View, do czasu publikacji nie doczekał się odpowiedzi.

Obrywa się też Apple. Badacz, który odkrył lukę, punktuje absurd procesów weryfikacji w App Store: „Apple dosłownie odrzuci aplikację, jeżeli przycisk jest o dwa piksele za szeroki niezgodnie z ich wytycznymi designu, ale nie sprawdzają absolutnie niczego, co ma związek z bezpieczeństwem bazy danych na backendzie”.

W efekcie mamy w sklepach (zarówno Google Play, jak i App Store) aplikacje, które wyglądają ładnie, ale pod spodem są cyfrowym sitem, przez które przelatują nasze najintymniejsze sekrety.

9 godzin dziennie przed generatorem obrazów. Pracownica startupu o załamaniu nerwowym i „cyfrowym uzależnieniu”

Jeśli artykuł Chcieli rzucić pornografię, a ich najskrytsze sekrety wyciekły do sieci. Gigantyczna wpadka twórcy aplikacji, która miała pomóc nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.