Халатность разработчиков обернулась утечкой данных миллионов пользователей KidSecurity

Популярное приложение для родительского контроля KidSecurity допустило утечку логов активности. Личные данные миллиона пользователей оказались доступны для злоумышленников.

Приложение KidSecurity, насчитывающее более миллиона загрузок в Google Play, предоставляет родителям инструменты для отслеживания местоположения детей, прослушивания звука с их устройств, а также возможность устанавливать лимиты на использование гаджетов.

16 сентября исследователи обнаружили, что в приложении не была настроена аутентификация для хранилищ Elasticsearch и Logstash, которые обычно используются для анализа журналов и данных о событиях. Из-за этой ошибки логи активности пользователей более месяца оставались публично доступными в интернете.

Согласно оценкам, утечка затронула более 300 млн записей, включая 21 000 номеров телефонов и 31 000 адресов электронной почты. Также частично была раскрыта информация о платежных картах, в том числе первые шесть и последние четыре цифры номера, срок действия карт и банк-эмитент.

Кроме того, есть признаки того, что уязвимостью воспользовались злоумышленники. Сервер приложения подвергся атаке ботнета Readme, который нередко оставляет вымогательские файлы на взломанных системах. Хотя конкретно по этому инциденту данных о выкупе пока нет.

Раскрытие таких чувствительных данных, как электронные адреса, телефонные номера и платёжная информация в приложении для отслеживания детей, представляет собой серьёзную угрозу. В руках злоумышленников эта информация может быть использована для кражи личности, мошенничества и несанкционированных финансовых операций, подвергая значительному риску детей и их семьи. Хотя местоположение пользователей не было раскрыто, утечка данных является серьёзным нарушением их приватности и безопасности.

Public Release.