Blog

Um aplicativo de acompanhamento familiar estava vazando dados de localização em tempo real – TechCrunch

Um popular aplicativo de rastreamento familiar estava vazando os locais em tempo real de mais de 238.000 usuários durante semanas após o desenvolvedor deixar um servidor exposto sem uma senha.

O aplicativo Family Locator, criado pela empresa de software React Apps, com sede na Austrália, permite que as famílias acompanhem umas às outras em tempo real, como cônjuges ou pais que querem saber onde estão seus filhos. Ele também permite que os usuários configurem alertas com limite geográfico para enviar uma notificação quando um membro da família entra ou sai de um determinado local, como escola ou trabalho.

Mas o banco de dados do MongoDB de back-end foi deixado desprotegido e acessível por qualquer um que saiba onde procurar.

Sanyam Jain, pesquisador de segurança e membro da GDI Foundation, encontrou o banco de dados e relatou as descobertas ao TechCrunch.

Com base em uma análise do banco de dados, cada registro de conta continha o nome de um usuário, endereço de e-mail, foto do perfil e suas senhas de texto sem formatação. Cada conta também mantinha um registro dos locais em tempo real próprios e de outros membros da família com precisão de apenas alguns metros. Qualquer usuário que tivesse uma configuração de geocence também tinha essas coordenadas armazenadas no banco de dados, junto com o que o usuário as chamava – como “casa” ou “trabalho”.

Nenhum dos dados foi criptografado.

O TechCrunch verificou o conteúdo do banco de dados fazendo o download do aplicativo e se inscrevendo usando um endereço de e-mail falso. Em segundos, nossa localização em tempo real apareceu como coordenadas precisas no banco de dados.

Entramos em contato com um usuário de um aplicativo aleatoriamente que, embora surpreso e assustado com os resultados, confirmou ao TechCrunch que as coordenadas encontradas em seu registro eram precisas. O usuário da Flórida, que não quis ser identificado, disse que o banco de dados era a localização de seus negócios. O usuário também confirmou que um membro da família listado no aplicativo era seu filho, um aluno de uma escola secundária nas proximidades.

Vários outros registros que analisamos também incluíram os locais em tempo real dos pais e de seus filhos.

O TechCrunch passou uma semana tentando entrar em contato com o desenvolvedor, o React Apps, sem sucesso. O site da empresa não tinha informações de contato – nem sua política de privacidade básica. O site tinha um registro WHOIS oculto com privacidade ativa, mascarando o endereço de e-mail do proprietário. Até compramos os registros comerciais da empresa na Australian Securities & Investments Commission, apenas para saber o nome do proprietário da empresa – Sandip Mann Singh -, mas não há informações de contato. Enviamos várias mensagens por meio do formulário de comentários da empresa, mas não recebemos nenhuma confirmação.

Na sexta-feira, perguntamos à Microsoft, que hospedava o banco de dados em sua nuvem do Azure, para entrar em contato com o desenvolvedor. Horas depois, o banco de dados foi finalmente colocado offline.

Não se sabe precisamente quanto tempo o banco de dados foi exposto. Singh ainda não reconheceu o vazamento de dados.

Source link

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Verifique também
Fechar
Botão Voltar ao topo