Krzysiek Borek22.05.2018
Z aplikacji TeenSafe wyciekły hasła do Apple ID

Dzięki aplikacji TeenSafe rodzice użytkowników urządzeń mobilnych Apple mogą sprawdzać co ich pociechy robią w danym momencie na swoim sprzęcie.

Problem w tym, że z aplikacji wyciekły dane użytkowników, wliczając w to loginy i hasła dla Apple ID.

Jeden z serwerów „wypluł” dane setek tysięcy użytkowników, jako zwykły tekst. Dotyczy to kont rodziców i dzieci, co zdecydowanie nie napawa optymizmem. Aplikacja była dostępna na Androida i iOS, a dzięki niej rodzice mogli przeglądać wiadomości swoich dzieci i sprawdzać ich lokalizację. Według TeenSafe z aplikacji korzystało ponad milion rodziców i dzieci, co wygląda na całkiem dużą bazę użytkowników.

Firma pochodząca z Los Angeles korzystała z dwóch serwerów w chmurze Amazonu, a problemem okazał się całkowity brak ich zabezpieczeń. Dzięki temu łatwo było dotrzeć do wybranych przez siebie danych bez konieczności wpisywania hasła. Oba serwery zostały szybko wyłączone, a jeden z nich przechowywał dane testowe.

The database stores the parent’s email address associated with TeenSafe, as well as their corresponding child’s Apple ID email address. It also includes the child’s device name — which is often just their name — and their device’s unique identifier. The data contains the plaintext passwords for the child’s Apple ID. Because the app requires that two-factor authentication is turned off, a malicious actor viewing this data only needs to use the credentials to break into the child’s account to access their personal content data.

Niezabezpieczone dane nie zawierały zdjęć, wiadomości ani lokalizacji poszczególnych użytkowników. Ponad 10 tysięcy danych użytkowników nie miało zabezpieczeń, a w większości były to duplikaty.

TeenSafe bada obecnie sytuację i po jej zakończeniu poinformuje swoich użytkowników. Jeżeli korzystacie z aplikacji warto w tej chwili zmienić większość haseł lub skontaktować się z firmą w celu pozyskania informacji na temat zaistniałego problemu.

Podobna sytuacja miała miejsce w marcu bieżącego roku, a ofiarą okazali się użytkownicy aplikacji MyFitnessPal. Wtedy wyciek opiewał na 150 milionów danych użytkowników, wliczając w to loginy, hasła i nazwy użytkowników.

Źródło: idownloadblog.com
Polub nas na Facebooku, obserwuj na Twitterze, dodaj do Google+ lub RSS

The Sins never die
@krzysiek_borek