Massivt integritetsintrång i nischade dejtingappar exponerar känsliga användarbilder

Som en del av en storskalig undersökning av säkerhetsbrister i iOS-appar har Cybernews upptäckt uppenbara problem som kan ha resulterat i en massiv läcka av privata foton från ett antal nischade dejtingappar, alla från en M.A.D. Mobile. Dessa bilder kom inte bara från offentliga profiler och inlägg utan även från chattar och inkluderade även bilder som tagits bort av moderatorer. Naturligtvis var många av dessa foton explicita till sin natur.

Fem appar från M.A.D. Mobile påverkades - BDSM People, den lyxiga "sugar dating"-appen Chica och HBT-apparna Pink, Brish och Translovefound. Alla dessa appar använde inte bara en identisk arkitektur, utan hade lämnat kritiska säkerhetsuppgifter som klartext öppet i appkoden. Det var dessa hemliga nycklar som ledde forskarna till Google Cloud Storage-hinkarna där bilderna låg utan någon form av kryptering eller lösenordsskydd. Detta innebar att vem som helst med webbadressen - som var offentligt exponerad - kunde ha fått tillgång till media.

Naturligtvis, när som helst privata foton är potentiellt utsatta för illvilliga aktörerfinns det risk för trakasserier, utpressning och skadat rykte. Men konsekvenserna av ett integritetsintrång skulle sannolikt vara mycket värre för användare av specialiserade dejtingappar, särskilt med homosexualitet som är olagligt i många länder.

Omfattningen av läckan är häpnadsväckande - över 1,5 miljoner bilder som laddats upp av användare, eller flera hundra gigabyte data. Det är en liten lycka att den exponerade datan inte innehöll användaridentiteter, användarnamn, e-postmeddelanden eller meddelanden, men en enkel omvänd bildsökning kan lätt arbeta runt det. Noterbart är att alla fem apparna är exklusiva för iOS, utan Android eller webbversioner.

Forskarna på Cybernews nådde först ut till M.A.D. Mobile i januari, men läckan förblev oadresserad. Av rädsla för fortsatt passivitet från företagets sida, och mot sin egen standardpraxis, beslutade Cybernews att publicera en rapport om problemet innan det var åtgärdat. Det var först efter att BBC skickat e-post till företaget att en representant svarade och sa att det verkligen var fixat, samtidigt som han tackade forskarna för deras hjälp.

Denna incident belyser bara vad många inom cybersäkerhetsdomänen redan vet: iOS-appar från tredje part är inte på något sätt i sig säkra mot dataintrång. Faktum är att Cybernews undersökning gav en förvirrande insikt. Av de 156 000 appar som undersöktes (eller 8 % av alla appar på Apple Store) visade sig 71 % av apparna avslöja minst en hemlighet. Den genomsnittliga appens kod exponerade 5,2 hemligheter.

Den största lärdomen av denna incident är att användare bör undvika att använda appar från okända utgivare helt och hållet, särskilt när mycket känslig information är inblandad. Särskilt känsliga medier bör endast delas på krypterade plattformar och tjänster som inte bara erbjuder en viss grad av skydd, utan också offentligt ansvar.