Os pesquisadores descobriram quase 1,5 milhão de fotos de aplicativos de namoro especializados – muitos dos quais são explícitos – sendo armazenados on -line sem proteção de senha, deixando -os vulneráveis a hackers e extorsionistas.
Qualquer pessoa com o link foi capaz de visualizar as fotos particulares de cinco plataformas desenvolvidas por Mad Mobile: Kink Sites BDSM People e Chica, e Apps LGBT Pink, Brish e Translow.
Esses serviços são usados em cerca de 800.000 a 900.000 pessoas.
Mad Mobile foi avisado pela primeira vez sobre a falha de segurança em 20 de janeiro, mas não agiu até que a BBC enviou um e -mail na sexta -feira.
Desde então, eles o consertaram, mas não disseram como aconteceu ou por que não protegeram as imagens sensíveis.
O hacker ético Aras Nazarovas da CyberNews alertou primeiro a empresa sobre o buraco de segurança depois de encontrar a localização do armazenamento on -line usado pelos aplicativos, analisando o código que alimenta os serviços.
Ele ficou chocado por poder acessar as fotos não criptografadas e desprotegidas sem senha.
“O primeiro aplicativo que investigei foi o BDSM, e a primeira imagem na pasta era um homem nu nos trinta”, disse ele.
“Assim que o vi, percebi que essa pasta não deveria ter sido pública”.
As imagens não se limitaram aos de perfis, disse ele – eles incluíam fotos que foram enviadas em particular em mensagens e até algumas que haviam sido removidas por moderadores.
Nazarovas disse que a descoberta de material sensível desprotegido tem um risco significativo para os usuários das plataformas.
Hackers maliciosos poderiam ter encontrado as imagens e extorquiram indivíduos.
Há também um risco para aqueles que vivem em países hostis às pessoas LGBT.
Nenhum dos conteúdos de texto das mensagens privados foi armazenado dessa maneira e as imagens não são rotuladas com nomes de usuário ou nomes reais, o que tornaria os ataques direcionados para os usuários mais complexos.
Em um e -mail, Mad Mobile disse que ficou agradecido ao pesquisador por descobrir a vulnerabilidade nos aplicativos para impedir que uma violação de dados ocorra.
Mas não há garantia de que Nazarovas foi o único hacker que encontrou o estoque da imagem.
“Agradecemos o trabalho deles e já tomamos as medidas necessárias para resolver a questão”, disse um porta -voz do Mad Mobile. “Uma atualização adicional para os aplicativos será lançada na App Store nos próximos dias”.
A empresa não respondeu a mais perguntas sobre onde a empresa se baseia e por que levou meses para resolver a questão após vários avisos dos pesquisadores.
Geralmente, os pesquisadores de segurança esperam até que uma vulnerabilidade seja fixada antes de publicar um relatório on -line, caso coloque os usuários em risco adicional de ataques.
Mas Nazarovas e sua equipe decidiram acertar o alarme na quinta -feira, enquanto a questão ainda estava ao vivo, pois eles estavam preocupados com o fato de a empresa não estar fazendo nada para consertá -lo.
“É sempre uma decisão difícil, mas achamos que o público precisa saber se proteger”, disse ele.
Em 2015, hackers maliciosos roubaram uma grande quantidade de dados de clientes sobre os usuários da Ashley Madison, um site de namoro para pessoas casadas que desejam trapacear seu cônjuge.
