Популярное приложение для родительского контроля KidSecurity допустило утечку логов активности. Личные данные миллиона пользователей оказались доступны для злоумышленников.
Приложение KidSecurity, насчитывающее более миллиона загрузок в Google Play, предоставляет родителям инструменты для отслеживания местоположения детей, прослушивания звука с их устройств, а также возможность устанавливать лимиты на использование гаджетов.
16 сентября исследователи обнаружили, что в приложении не была настроена аутентификация для хранилищ Elasticsearch и Logstash, которые обычно используются для анализа журналов и данных о событиях. Из-за этой ошибки логи активности пользователей более месяца оставались публично доступными в интернете.
Согласно оценкам, утечка затронула более 300 млн записей, включая 21 000 номеров телефонов и 31 000 адресов электронной почты. Также частично была раскрыта информация о платежных картах, в том числе первые шесть и последние четыре цифры номера, срок действия карт и банк-эмитент.
Кроме того, есть признаки того, что уязвимостью воспользовались злоумышленники. Сервер приложения подвергся атаке ботнета Readme, который нередко оставляет вымогательские файлы на взломанных системах. Хотя конкретно по этому инциденту данных о выкупе пока нет.
Раскрытие таких чувствительных данных, как электронные адреса, телефонные номера и платёжная информация в приложении для отслеживания детей, представляет собой серьёзную угрозу. В руках злоумышленников эта информация может быть использована для кражи личности, мошенничества и несанкционированных финансовых операций, подвергая значительному риску детей и их семьи. Хотя местоположение пользователей не было раскрыто, утечка данных является серьёзным нарушением их приватности и безопасности.