В результате недоработок разработчиков приложения для родительского контроля KidSecurity, произошла утечка чувствительной информации о детях, включая их геолокацию и личные сообщения.
Проблема была выявлена исследовательской группой Cybernews в феврале. Оказалось, что в течение более года данные, собранные с устройств несовершеннолетних, были доступны всем пользователям из-за неправильно настроенной системы аутентификации Kafka Broker Cluster. Анализ данных показал, что утечка коснулась пользователей по всему миру, в том числе в Восточной Европе и на Ближнем Востоке.
Приложение KidSecurity, насчитывающее более 1 миллиона загрузок в Google Play, предлагает родителям отслеживать местоположение детей, контролировать их цифровое взаимодействие и прослушивать окружающую среду ребенка для обеспечения его безопасности.
Среди утекшей информации оказались:
- сообщения в соцсетях, включая Instagram*, WhatsApp, Telegram, Viber и VK;
- email-адреса родителей;
- IP-адреса;
- информация в App Store: страна, страна профиля, валюты транзакций, даты начала и окончания подписки;
- списки установленных приложений и статистика их использования;
- награды, предоставляемые детям за выполнение различных заданий, например, за выполнение работы по дому или участие в спортивных соревнованиях;
- аудиозаписи окружения несовершеннолетних;
- номера IMEI;
- местоположение устройства;
- уровень заряда батареи смартфона;
- другие периодически отправляемые метаданные;
В 2023 году приложение уже допускало ошибки в безопасности данных. В ноябре из-за неправильной настройки аутентификации системы утекло более 300 миллионов записей с личными данными пользователей.
Причиной утечки стал открытый кластер Kafka Broker. Как следствие, информация поступала подобно потоку данных, что позволяло злоумышленникам накапливать огромные объемы личной информации в течение длительного времени. Когда Cybernews обнаружил открытый кластер Kafka, принадлежащий приложению KidSecurity, в его кэше уже хранилось более 100 ГБ информации. За час наблюдения исследователи получили 456 000 личных сообщений, отправленных через приложения социальных сетей на телефонах несовершеннолетних, а также статистику использования приложений с 11 000 телефонов. Объем данных, собранных за такой ограниченный период времени, чрезвычайно велик. Доступ к кластеру был закрыт только после обращения Cybernews к компании.
Сохраненные хакерами данные
Небрежность в защите не только подвергла риску конфиденциальность данных детей, но и дала возможность киберпреступникам манипулировать полученной информацией, создавая потенциальную угрозу их безопасности.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.