Gay dating-app Heeft opgeslagen privé-foto's en -gegevens van Jack opgeslagen op onbeveiligde AWS-servers

Gay dating-app Heeft opgeslagen privé-foto's en -gegevens van Jack opgeslagen op onbeveiligde AWS-servers

februari 13, 2019 0 Door admin

 

De gay dating-app Jack’d, die meer dan een miljoen downloads in de Play Store heeft, heeft afbeeldingen opgeslagen die gebruikers ‘privé’ hebben gemarkeerd en hebben gepost in 1: 1 chatsessies * op een onbeveiligde AWS-server. *

De site is HTTP-toegankelijk.

Ars Technica publiceerde eerst het verhaal en bevestigde na publicatie, met testen, dat het privébeeld in Jack’d is gesloten.

“Een volledige controle van de nieuwe app is nog gaande.”

Uittreksel:

Jack’d, een “gay dating and chat” -applicatie met meer dan 1 miljoen downloads van de Google Play Store, laat afbeeldingen achter die door gebruikers zijn geplaatst en gemarkeerd als “privé” in chatsessies die openstaan ​​voor surfen op internet, waardoor mogelijk de privacy van duizenden gebruikers. Foto’s zijn geüpload naar een AWS S3-bak die toegankelijk is via een onbeveiligde webverbinding, te herkennen aan een volgnummer. Door simpelweg het bereik van opeenvolgende waarden te doorlopen, was het mogelijk om alle afbeeldingen te bekijken die zijn geüpload door Jack’d-gebruikers – openbaar of privé. Bovendien waren locatiegegevens en andere metadata over gebruikers toegankelijk via de onbeveiligde interfaces van de toepassing om gegevens back-end te maken.

Het resultaat was dat intieme, privéafbeeldingen – inclusief foto’s van genitaliën en foto’s die informatie over de identiteit en locatie van gebruikers openbaarden – werden blootgesteld aan het openbare licht. Omdat de afbeeldingen door de toepassing zijn opgehaald via een onveilige webverbinding, kunnen ze worden onderschept door iedereen die het netwerkverkeer controleert, inclusief ambtenaren in gebieden waar homoseksualiteit illegaal is, homoseksuelen worden vervolgd of door andere kwaadwillende acteurs. En aangezien locatiegegevens en telefoonidentificatiegegevens ook beschikbaar waren, konden gebruikers van de toepassing worden getarget

Er is reden om bezorgd te zijn. Jack’d ontwikkelaar Online-Buddies Inc.’s eigen marketing beweert dat Jack’d meer dan 5 miljoen gebruikers wereldwijd heeft op zowel iOS als Android en dat het “consistent behoort tot de top vier van homo sociale apps in zowel de App Store als Google Play .” Het bedrijf, dat in 2001 werd gelanceerd met de online datingwebsite van Manhunt – “een categorieleider in de dataruimte van meer dan 15 jaar,” claimt het bedrijf – brengt Jack ‘adverteerders’ toe als ’s werelds grootste, meest cultureel diverse homedating-app .”

De bug is opgelost in een update van 7 februari. Maar de oplossing komt een jaar nadat het lek voor het eerst aan het bedrijf werd bekendgemaakt door beveiligingsonderzoeker Oliver Hough en meer dan drie maanden nadat Ars Technica contact opnam met de CEO van het bedrijf, Mark Girolamo, over het probleem. Helaas is dit soort vertraging nauwelijks ongewoon als het gaat om beveiligingsopmerkingen, zelfs als de oplossing betrekkelijk eenvoudig is. En het wijst op een voortdurend probleem met de wijdverbreide verwaarlozing van elementaire veiligheidshygiëne in mobiele toepassingen.

bron