Ошибка разработчиков KidSecurity раскрыла личные данные детей по всему миру

Ошибка разработчиков KidSecurity раскрыла личные данные детей по всему миру

Что ожидать несовершеннолетним пользователям, если их жизни стали видны во всем интернете?

image

В результате недоработок разработчиков приложения для родительского контроля KidSecurity, произошла утечка чувствительной информации о детях, включая их геолокацию и личные сообщения.

Проблема была выявлена исследовательской группой Cybernews в феврале. Оказалось, что в течение более года данные, собранные с устройств несовершеннолетних, были доступны всем пользователям из-за неправильно настроенной системы аутентификации Kafka Broker Cluster. Анализ данных показал, что утечка коснулась пользователей по всему миру, в том числе в Восточной Европе и на Ближнем Востоке.

Приложение KidSecurity, насчитывающее более 1 миллиона загрузок в Google Play, предлагает родителям отслеживать местоположение детей, контролировать их цифровое взаимодействие и прослушивать окружающую среду ребенка для обеспечения его безопасности.

Среди утекшей информации оказались:

  • сообщения в соцсетях, включая Instagram*, WhatsApp, Telegram, Viber и VK;
  • email-адреса родителей;
  • IP-адреса;
  • информация в App Store: страна, страна профиля, валюты транзакций, даты начала и окончания подписки;
  • списки установленных приложений и статистика их использования;
  • награды, предоставляемые детям за выполнение различных заданий, например, за выполнение работы по дому или участие в спортивных соревнованиях;
  • аудиозаписи окружения несовершеннолетних;
  • номера IMEI;
  • местоположение устройства;
  • уровень заряда батареи смартфона;
  • другие периодически отправляемые метаданные;

В 2023 году приложение уже допускало ошибки в безопасности данных. В ноябре из-за неправильной настройки аутентификации системы утекло более 300 миллионов записей с личными данными пользователей.

Причиной утечки стал открытый кластер Kafka Broker. Как следствие, информация поступала подобно потоку данных, что позволяло злоумышленникам накапливать огромные объемы личной информации в течение длительного времени. Когда Cybernews обнаружил открытый кластер Kafka, принадлежащий приложению KidSecurity, в его кэше уже хранилось более 100 ГБ информации. За час наблюдения исследователи получили 456 000 личных сообщений, отправленных через приложения социальных сетей на телефонах несовершеннолетних, а также статистику использования приложений с 11 000 телефонов. Объем данных, собранных за такой ограниченный период времени, чрезвычайно велик. Доступ к кластеру был закрыт только после обращения Cybernews к компании.

Сохраненные хакерами данные

Небрежность в защите не только подвергла риску конфиденциальность данных детей, но и дала возможность киберпреступникам манипулировать полученной информацией, создавая потенциальную угрозу их безопасности.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум