- Aplikasi Yang Membocorkan Data Serta Lokasi pelacakan keluarga terkenal membocorkan lokasi real-time lebih dari 238.000 pengguna selama berminggu-minggu sehabis pengembang meninggalkan server terbuka tanpa kata sandi.Aplikasi, Family Locator, dibangun oleh rumah perangkat lunak yang berbasis di Australia React Apps, memungkinkan keluarga untuk saling melacak secara real-time, menyerupai pasangan atau orang bau tanah yang ingin tahu di mana bawah umur mereka. Itu juga memungkinkan pengguna mengatur peringatan geofenced untuk mengirim pemberitahuan ketika anggota keluarga memasuki atau meninggalkan lokasi tertentu, menyerupai sekolah atau kantor.
Tetapi database MongoDB backend dibiarkan tidak terlindungi dan sanggup diakses oleh siapa saja yang tahu ke mana harus mencari.Sanyam Jain, seorang peneliti keamanan dan anggota Yayasan GDI, menemukan database dan melaporkan temuannya ke TechCrunch.
Tidak ada data yang dienkripsi.Tech Crunch memverifikasi isi database dengan mengunduh aplikasi dan mendaftar memakai alamat email dummy. Dalam hitungan detik, lokasi waktu positif kami muncul sebagai koordinat sempurna dalam database.
Kami menghubungi satu pengguna aplikasi secara acak yang, walaupun terkejut dan kaget dengan temuan tersebut, mengonfirmasi kepada TechCrunch bahwa koordinat yang ditemukan di bawah catatan mereka akurat. Pengguna yang berbasis di Florida, yang tidak mau disebutkan namanya, menyampaikan bahwa database yaitu lokasi bisnis mereka. Pengguna juga mengonfirmasi bahwa anggota keluarga yang tercantum dalam aplikasi yaitu anak mereka, seorang siswa di sekolah menengah terdekat.
Beberapa catatan lain yang kami ulas juga meliputi lokasi orang bau tanah dan bawah umur mereka secara waktu nyata.
Tech Crunch menghabiskan seminggu mencoba menghubungi pengembang, Bereaksi Aplikasi, tetapi tidak berhasil. Situs web perusahaan tidak mempunyai informasi kontak - juga kebijakan privasi tanpa tulang. Situs web ini mempunyai catatan WHOIS tersembunyi yang diaktifkan privasi, menutupi alamat email pemilik. Kami bahkan membeli catatan bisnis perusahaan dari Komisi Sekuritas & Investasi Australia, hanya untuk mengetahui nama pemilik perusahaan - Sandip Mann Singh - tetapi tidak ada informasi kontak. Kami mengirim beberapa pesan melalui formulir umpan balik perusahaan, tetapi tidak mendapatkan pemberitahuan.
Pada hari Jumat, kami meminta Microsoft, yang meng-host database di cloud Azure-nya, untuk menghubungi pengembang. Beberapa jam kemudian, database hasilnya ditarik offline.
Ini tidak terbantu oleh problem React sendiri dengan akuntabilitas. Situsnya tidak mempunyai informasi kontak, dan bahkan catatan WHOIS-nya menutupi alamat email. Pesan melalui formulir umpan balik tidak menghasilkan apa-apa. Basis data tidak offline hingga TechCrunch meminta Microsoft untuk menghubungi pengembang, yang masih belum menyampaikan apa-apa perihal kebocoran.
Tetapi database MongoDB backend dibiarkan tidak terlindungi dan sanggup diakses oleh siapa saja yang tahu ke mana harus mencari.Sanyam Jain, seorang peneliti keamanan dan anggota Yayasan GDI, menemukan database dan melaporkan temuannya ke TechCrunch.
Aplikasi Yang Membocorkan Data
Berdasarkan peninjauan basis data, setiap catatan akun berisi nama pengguna, alamat email, foto profil, dan kata sandi plaintext mereka. Setiap akun juga menyimpan catatan lokasi waktu mereka sendiri dan anggota keluarga lainnya yang sempurna hanya beberapa meter. Setiap pengguna yang mempunyai geofence diatur juga mempunyai koordinat tersebut disimpan dalam database, bersama dengan apa yang disebut pengguna - menyerupai "rumah" atau "bekerja."Tidak ada data yang dienkripsi.Tech Crunch memverifikasi isi database dengan mengunduh aplikasi dan mendaftar memakai alamat email dummy. Dalam hitungan detik, lokasi waktu positif kami muncul sebagai koordinat sempurna dalam database.
Kami menghubungi satu pengguna aplikasi secara acak yang, walaupun terkejut dan kaget dengan temuan tersebut, mengonfirmasi kepada TechCrunch bahwa koordinat yang ditemukan di bawah catatan mereka akurat. Pengguna yang berbasis di Florida, yang tidak mau disebutkan namanya, menyampaikan bahwa database yaitu lokasi bisnis mereka. Pengguna juga mengonfirmasi bahwa anggota keluarga yang tercantum dalam aplikasi yaitu anak mereka, seorang siswa di sekolah menengah terdekat.
Beberapa catatan lain yang kami ulas juga meliputi lokasi orang bau tanah dan bawah umur mereka secara waktu nyata.
Tech Crunch menghabiskan seminggu mencoba menghubungi pengembang, Bereaksi Aplikasi, tetapi tidak berhasil. Situs web perusahaan tidak mempunyai informasi kontak - juga kebijakan privasi tanpa tulang. Situs web ini mempunyai catatan WHOIS tersembunyi yang diaktifkan privasi, menutupi alamat email pemilik. Kami bahkan membeli catatan bisnis perusahaan dari Komisi Sekuritas & Investasi Australia, hanya untuk mengetahui nama pemilik perusahaan - Sandip Mann Singh - tetapi tidak ada informasi kontak. Kami mengirim beberapa pesan melalui formulir umpan balik perusahaan, tetapi tidak mendapatkan pemberitahuan.
Pada hari Jumat, kami meminta Microsoft, yang meng-host database di cloud Azure-nya, untuk menghubungi pengembang. Beberapa jam kemudian, database hasilnya ditarik offline.
Tidak diketahui secara niscaya berapa usang database dibuka
Singh masih belum mengakui kebocoran data. Aplikasi pelacakan keluarga sanggup sangat membantu kalau Anda khawatir perihal bawah umur atau pasangan Anda, tetapi mereka sanggup menjadi mimpi jelek kalau data itu jatuh ke tangan yang salah. Peneliti keamanan Sanyam Jain telah mengungkapkan kepada TechCrunch bahwa React Family Locator Apps meninggalkan data lokasi real-time (plus info eksklusif sensitif lainnya) untuk lebih dari 238.000 orang yang terpapar selama berminggu-minggu dalam database yang tidak aman. Itu memperlihatkan posisi dalam beberapa meter, dan bahkan memperlihatkan nama untuk area geofenced yang dipakai untuk memperlihatkan peringatan. Anda sanggup tahu apakah orang bau tanah meninggalkan rumah atau anak datang di sekolah, misalnya.Ini tidak terbantu oleh problem React sendiri dengan akuntabilitas. Situsnya tidak mempunyai informasi kontak, dan bahkan catatan WHOIS-nya menutupi alamat email. Pesan melalui formulir umpan balik tidak menghasilkan apa-apa. Basis data tidak offline hingga TechCrunch meminta Microsoft untuk menghubungi pengembang, yang masih belum menyampaikan apa-apa perihal kebocoran.