פרצת אבטחה באתרי היכרויות: מיליון וחצי תמונות, חלקן מיניות, נחשפו בקלות

חוקרים גילו כמעט 1.5 מיליון תמונות מאפליקציות היכרויות ייעודיות, מתוכן תמונות רבות מיניות, שנשמרו ברשת ללא הגנה באמצעות סיסמה, מה שהפך אותן לפגיעות בפני האקרים וסוחטים. כל מי שהיה לו את הקישור היה יכול לצפות בתמונות הפרטיות מחמש פלטפורמות שפותחו על ידי חברת M.A.D Mobile: אתרי קינק כמו BDSM People ו-Chica, ואפליקציות היכרויות לקהילת הלהט"ב כמו Pink, Brish ו-Translove. לאתרים הללו יש בין 800,000 ל-900,000 משתמשים.

האפליקציה BDSM People לבדה הורדה יותר מ-200,000 פעמים, מה שמעיד על כך שמספר גדול של אנשים עשוי היה להיות מושפע. האפליקציה CHICA – Selective Luxy Dating, שמתמחה בחיבור בין נשים לגברים עשירים, הכילה מאגר אחסון עם 133,000 תמונות של משתמשי האפליקציה.

M.A.D Mobile קיבלה לראשונה אזהרה לגבי פרצת האבטחה ב-20 בינואר, אך לא נקטה בפעולה עד שהכלי תקשורת דיווחו להם. הם מאז תיקנו את הפרצה, אך לא הסבירו כיצד היא התרחשה או מדוע נכשלו בהגנה על התמונות הרגישות. M.A.D Mobile טוענת כי הורדה מסיבית של נתוני משתמשים על ידי גורם זדוני הייתה נראית לעין בשרתי החברה, וכי לא התגלתה פעילות כזו.

החוקר אראס נזרובאס מ-Cybernews התריע לראשונה על הפרצה לאחר שמצא את מיקום האחסון המקוון של האפליקציות על ידי ניתוח הקוד שמפעיל את השירותים. הוא הופתע לגלות שהוא יכול לגשת לתמונות הלא מוצפנות והלא מוגנות ללא צורך בסיסמה. "האפליקציה הראשונה שבדקתי הייתה BDSM People, והתמונה הראשונה בתיקייה הייתה של גבר עירום בשנות השלושים לחייו," הוא אמר. "ברגע שראיתי זאת, הבנתי שהתיקייה הזו לא הייתה אמורה להיות ציבורית." לדבריו, התמונות לא הוגבלו רק לתמונות מפרופילים – הן כללו גם תמונות שנשלחו בהודעות פרטיות, ואף כאלה שהוסרו על ידי מנהלים.

סיכון לפריצה

נזרובאס ציין כי גילוי החומר הרגיש שלא נשמר עם הגנה מספקת, מהווה סיכון משמעותי למשתמשי הפלטפורמות. האקרים זדוניים יכלו למצוא את התמונות ולסחוט אנשים. קיים גם סיכון עבור מי שחי במדינות עוינות לקהילת הלהט"ב.

לא נמצא כי תוכן טקסטואלי מהודעות פרטיות נשמר באותו אופן, והתמונות אינן מסומנות עם שמות משתמש או שמות אמיתיים, מה שמקשה על ניסיונות תקיפה ממוקדת. במייל, חברת M.A.D Mobile הודתה לחוקר על כך שחשף את הפגיעות באפליקציות ומנע דליפת נתונים. עם זאת, אין ערובה לכך שנזרובאס היה ההאקר היחיד שמצא את מאגר התמונות.

"אנחנו מעריכים את עבודתו וכבר נקטנו בצעדים הדרושים לטיפול בבעיה," אמר דובר החברה. "עדכון נוסף לאפליקציות ישוחרר ב-App Store בימים הקרובים". החברה לא הגיבה לשאלות נוספות על מיקומה ולמה לקח לה חודשים לטפל בפרצה למרות אזהרות חוזרות ונשנות מחוקרים.

בדרך כלל, חוקרי אבטחה מחכים עד שהתיקון יושלם לפני שהם מפרסמים דוח מקוון, כדי למנוע סיכון נוסף למשתמשים. אבל נזרובאס וצוותו החליטו להתריע כבר ביום חמישי בעוד שהבעיה הייתה עדיין פעילה, משום שחששו שהחברה אינה פועלת כדי לתקן אותה. "זו תמיד החלטה קשה, אבל אנחנו חושבים שהציבור צריך לדעת זאת כדי להגן על עצמו," הוא אמר.

מה שעוד מדאיג הוא שמחקר של Cybernews, החברה שאחראית על המחקר המדובר, מראה כי פרצות אבטחה מסוג זה עשויות להיות נפוצות באופן מפתיע בחנות האפליקציות של אפל. החוקרים הורידו 156,000 אפליקציות iOS – כ-8% מהאפליקציות שבחנות – וגילו כי לרובן יש את אותה בעיית אבטחה. מבין האפליקציות שנבדקו, 7.1% הדליפו לפחות נתון "סודי" אחד, כאשר אפליקציה ממוצעת חשפה 5.2 נתונים כאלה.

הפירצה הכי מוכרת בעולמות אתרי הדייטינג הייתה בשנת 2015, האקרים גנבו כמות גדולה של מידע על משתמשי Ashley Madison, אתר היכרויות לאנשים נשואים המחפשים לבגוד בבני זוגם.