Ο ιχνηλάτης γονιμότητας Glow διορθώνει το σφάλμα αποκάλυψης προσωπικών δεδομένων των χρηστών της εφαρμογής

By

Marizas Dimitris

On

Φεβ 13, 2024

Ένα σφάλμα στο διαδικτυακό φόρουμ για την εφαρμογή παρακολούθησης γονιμότητας Glow εξέθεσε τα προσωπικά δεδομένα περίπου 25 εκατομμυρίων χρηστών, σύμφωνα με έναν ερευνητή ασφάλειας.

Το σφάλμα εξέθεσε το όνομα και το επίθετο των χρηστών, την ηλικιακή ομάδα που αναφέρονταν από μόνοι τους (όπως παιδιά ηλικίας 13-18 ετών και ενήλικες 19-25 ετών και 26 ετών και άνω), την τοποθεσία του χρήστη που περιγράφεται από τον ίδιο τον χρήστη, το μοναδικό αναγνωριστικό χρήστη της εφαρμογής ( εντός της

πλατφόρμα

ς λογισμικού του Glow) και οποιεσδήποτε εικόνες που ανέβασαν οι χρήστες, όπως φωτογραφίες προφίλ.

Ο ερευνητής ασφαλείας Ovi Liber είπε στο TechCrunch ότι βρήκε διαρροή δεδομένων χρήστη από το API προγραμματιστών του Glow. Η Liber ανέφερε το σφάλμα στο Glow τον Οκτώβριο και είπε ότι ο Glow διόρθωσε τη διαρροή περίπου μια εβδομάδα αργότερα.

Ένα API επιτρέπει σε δύο ή περισσότερα συνδεδεμένα στο διαδίκτυο συστήματα να επικοινωνούν μεταξύ τους, όπως η εφαρμογή ενός χρήστη και οι διακομιστές υποστήριξης της εφαρμογής. Τα API μπορεί να είναι δημόσια, αλλά οι εταιρείες με ευαίσθητα δεδομένα συνήθως περιορίζουν την πρόσβαση στους δικούς τους υπαλλήλους ή σε αξιόπιστους προγραμματιστές τρίτων.

Ο Liber, ωστόσο, είπε ότι το API του Glow ήταν προσβάσιμο σε οποιονδήποτε, καθώς

δεν είναι

προγραμματιστής.

Ένας ανώνυμος εκπρόσωπος του Glow επιβεβαίωσε στο TechCrunch ότι το σφάλμα διορθώθηκε, αλλά ο Glow αρνήθηκε να συζητήσει το σφάλμα και τον αντίκτυπό του στο αρχείο ή να παράσχει το όνομα του εκπροσώπου. Ως εκ τούτου, το TechCrunch δεν εκτυπώνει την απόκριση του Glow.

Σε ανάρτηση ιστολογίου που δημοσιεύτηκε τη Δευτέρα

, ο Liber έγραψε ότι η ευπάθεια που βρήκε επηρέασε και τους 25 εκατομμύρια χρήστες του Glow. Ο Liber είπε στο TechCrunch ότι η πρόσβαση στα δεδομένα ήταν σχετικά εύκολη.

Επικοινωνήστε μαζί μας

Έχετε περισσότερες πληροφορίες σχετικά με παρόμοια ελαττώματα σε εφαρμογές παρακολούθησης γονιμότητας; Θα θέλαμε να ακούσουμε νέα σας. Από μια συσκευή που δεν λειτουργεί, μπορείτε να επικοινωνήσετε με τον Lorenzo Franceschi-Bicchierai με ασφάλεια στο Signal στο +1 917 257 1382 ή μέσω Telegram, Keybase and Wire @lorenzofb ή email στο
. Μπορείτε επίσης να επικοινωνήσετε με το TechCrunch μέσω του SecureDrop.

«Βασικά είχα συνδεθεί με τη συσκευή μου Android [network analysis tool] Γρήγορα και κοίταξα στο φόρουμ και είδα την κλήση API που επέστρεφε τα δεδομένα χρήστη. Εκεί βρήκα το IDOR», είπε ο Liber, αναφερόμενος σε έναν τύπο ευπάθειας όπου ένας διακομιστής δεν διαθέτει τους κατάλληλους ελέγχους για να διασφαλίσει ότι η πρόσβαση παρέχεται μόνο σε εξουσιοδοτημένους χρήστες ή προγραμματιστές. «Όπου λένε ότι πρέπει να είναι διαθέσιμο μόνο σε προγραμματιστές, [it’s] Δεν είναι αλήθεια, είναι ένα δημόσιο τελικό σημείο API που επιστρέφει δεδομένα για κάθε χρήστη — απλώς ο εισβολέας πρέπει να γνωρίζει πώς πραγματοποιείται η κλήση API.”

Αν και τα δεδομένα που διαρρέουν μπορεί να μην φαίνονται εξαιρετικά ευαίσθητα, ένας ειδικός στην ψηφιακή ασφάλεια πιστεύει ότι οι χρήστες του Glow αξίζουν να γνωρίζουν ότι αυτές οι πληροφορίες είναι προσβάσιμες.

«Πιστεύω ότι είναι πολύ μεγάλη υπόθεση», δήλωσε στο TechCrunch η Eva Galperin, διευθύντρια

κυβερνοασφάλεια

ς στο μη κερδοσκοπικό Ίδρυμα ψηφιακών δικαιωμάτων Electronic Frontier Foundation, αναφερόμενη στην έρευνα της Liber. «Ακόμα και χωρίς να μπω στο ερώτημα τι είναι και τι δεν είναι [private identifiable information] υπό ποιο νομικό καθεστώς, τα άτομα που χρησιμοποιούν το Glow θα μπορούσαν να

επα

νεξετάσουν σοβαρά τη χρήση τους, αν γνώριζαν ότι διέρρευσε αυτά τα δεδομένα σχετικά με αυτούς».

Glow, που κυκλοφόρησε το 2013,

περιγράφει τον εαυτό του

ως «η πιο ολοκληρωμένη εφαρμογή παρακολούθησης περιόδου και γονιμότητας στον κόσμο», την οποία οι άνθρωποι μπορούν να χρησιμοποιήσουν για να παρακολουθούν τον «έμμηνο κύκλο, την ωορρηξία και τα σημάδια γονιμότητας, όλα σε ένα μέρος».

Το 2016, το Consumer Reports διαπίστωσε ότι ήταν δυνατή η πρόσβαση στα δεδομένα και τα σχόλια των χρηστών του Glow σχετικά με τη

σεξ

ουαλική τους ζωή, το ιστορικό αποβολών, αμβλώσεων και πολλά άλλα, λόγω ενός κενού απορρήτου που σχετίζεται με τον τρόπο με τον οποίο η εφαρμογή επέτρεπε στα ζευγάρια να συνδέουν τους λογαριασμούς τους και να μοιράζονται δεδομένα . το 2020,

Ο Glow συμφώνησε να πληρώσει πρόστιμο 250.000 δολαρίων

μετά από έρευνα του Γενικού Εισαγγελέα της Καλιφόρνια, ο οποίος κατηγόρησε την εταιρεία ότι απέτυχε να «διασφαλίσει επαρκώς [users’] πληροφορίες υγείας» και «επιτρέπεται η πρόσβαση στις πληροφορίες του χρήστη χωρίς τη συγκατάθεση του χρήστη».

VIA:

techcrunch.com

API

cybersecurity

Glow

leak

privacy

security

Vulnerabilities

Vulnerability

διαρροή

κυβερνασφάλεια