Lebih dari 1,5 juta pengguna layanan kencan grup memiliki data pribadi mereka terbuka - termasuk lokasi real-time mereka - karena kerentanan dalam aplikasi.
Situs kencan, 3Fun, menyebut dirinya sebagai "ruang pribadi" tempat Anda dapat bertemu "keriting lokal, orang-orang yang berpikiran terbuka." Tetapi datanya sama sekali bukan pribadi. Ken Munro, pendiri Pen Test Partners, yang mempublikasikan temuannya pada hari Kamis dan membagikan temuannya dengan TechCrunch, mengatakan "itu mungkin merupakan keamanan terburuk untuk aplikasi kencan yang pernah kita lihat."
Para peneliti Pen Test Partner menemukan aplikasi ini membocorkan lokasi yang tepat, foto, dan detail pribadi lainnya dari pengguna terdekat.
Lebih buruk lagi, karena aplikasi itu tidak diamankan dengan baik, para peneliti menemukan mereka dapat memasukkan koordinat yang mereka inginkan untuk menipu lokasi mereka, mengungkapkan informasi sensitif pada siapa pun di setiap lokasi yang mereka pilih, termasuk gedung-gedung pemerintah, pangkalan militer dan bahkan agen intelijen.
TechCrunch menjalankan tes yang sama dengan Pen Test Partners dan mengonfirmasi temuannya. Kami dapat memodifikasi geolokasi kami saat ini ke set koordinat yang kami inginkan - termasuk Gedung Putih dan markas CIA.
Dengan menggunakan alat bantu di tengah seperti Burp Suite, kami dapat menangkap lokasi kami yang sebenarnya, memanipulasinya dalam perjalanan ke server dan menerima kumpulan data untuk lokasi tersebut.
Tangkapan Layar 2019 08 06 pukul 1.19.56 PM Salah satu catatan pengguna yang terbuka (kiri) dan perkiraan representasi dari beberapa pengguna (kanan) Kami menemukan profil pengguna di kedua lokasi, termasuk preferensi seksual mereka - termasuk orientasi seksual dan kecocokan yang mereka sukai; usia mereka; nama pengguna dan nama pengguna pasangan mereka; banyak dari mereka termasuk informasi yang luas, spesifik dan pribadi tentang pengguna; dan gambar profil resolusi penuh mereka. Dalam beberapa kasus, tanggal lahir juga diketahui. Tidak ada data yang dienkripsi. Para peneliti menyebut aplikasi itu sebagai "kecelakaan kereta privasi." Para peneliti menghubungi 3Fun pada 1 Juli untuk melaporkan bug. Munro mengatakan pembuat aplikasi membutuhkan waktu berminggu-minggu untuk memperbaiki masalah tersebut. Kami mengirim email 3Fun dengan beberapa pertanyaan, tetapi juru bicara Jennifer White tidak menanggapi permintaan komentar. Ini adalah aplikasi terbaru yang melanggar standar keamanan yang tepat dalam beberapa bulan terakhir. Aplikasi kencan Yahudi JCrush meninggalkan 200.000 catatan pengguna terbuka pada bulan Juni setelah selang keamanan. Tahun lalu pada hari peluncurannya, aplikasi kencan konservatif Donald Daters mengekspos seluruh basis penggunanya - pada saat itu sekitar 1.600 pengguna - setelah meninggalkan satu set kunci kode-keras di dalam aplikasinya, yang dengan cepat ditemukan setelah seorang peneliti keamanan mendekompilasi aplikasi tersebut. Aplikasi kencan lain, Coffee Meets Bagel, dilanggar pada Hari Valentine, tidak kurang. Ya, itu satu jalan menuju hati seseorang - meretas profil kencan mereka.
0 komentar:
Posting Komentar