Οι εφαρμογές αυτές χρησιμοποιούνται συνολικά από 800.000 έως 900.000 άτομα, καθιστώντας το περιστατικό ιδιαίτερα ανησυχητικό.
Ένα σοβαρό ζήτημα παραβίασης προσωπικών δεδομένων αποκαλύφθηκε όταν ερευνητές διαπίστωσαν ότι περίπου 1,5 εκατομμύριο φωτογραφίες – συμπεριλαμβανομένων αποκαλυπτικών εικόνων – από εξειδικευμένες εφαρμογές γνωριμιών ήταν αποθηκευμένες online χωρίς καμία προστασία κωδικού πρόσβασης. Αυτό άφησε το περιεχόμενο εκτεθειμένο σε ενδεχόμενες επιθέσεις χάκερ και εκβιαστών.
Οι φωτογραφίες προέρχονταν από πέντε εφαρμογές της εταιρείας M.A.D Mobile: τις BDSM People και Chica, που επικεντρώνονται σε φετιχιστικό περιεχόμενο, καθώς και τις LGBT εφαρμογές Pink, Brish και Translove.
Οποιοσδήποτε είχε τον κατάλληλο σύνδεσμο μπορούσε να αποκτήσει πρόσβαση σε προσωπικές φωτογραφίες χρηστών. Οι εφαρμογές αυτές χρησιμοποιούνται συνολικά από 800.000 έως 900.000 άτομα, καθιστώντας το περιστατικό ιδιαίτερα ανησυχητικό.
Παρόλο που η εταιρεία είχε ειδοποιηθεί για το πρόβλημα από τις 20 Ιανουαρίου, δεν προχώρησε σε καμία ενέργεια μέχρι που το BBC επικοινώνησε μαζί της αρκετές εβδομάδες αργότερα. Η M.A.D Mobile διόρθωσε το κενό ασφαλείας, ωστόσο δεν έχει εξηγήσει πώς ακριβώς προέκυψε η διαρροή ή γιατί τα ευαίσθητα δεδομένα παρέμειναν εκτεθειμένα για τόσο μεγάλο διάστημα.
Το πρόβλημα εντόπισε πρώτος ο “ηθικός χάκερ” Aras Nazarovas από το Cybernews, ο οποίος, εξετάζοντας τον κώδικα των εφαρμογών, εντόπισε τον διαδικτυακό αποθηκευτικό χώρο που χρησιμοποιούσαν.
Όπως μεταδίδει το BBC, ο ίδιος σοκαρίστηκε όταν διαπίστωσε ότι μπορούσε να αποκτήσει πρόσβαση στις μη κρυπτογραφημένες φωτογραφίες χωρίς κανέναν κωδικό ασφαλείας.
“Η πρώτη εφαρμογή που εξέτασα ήταν η BDSM People και η πρώτη εικόνα στον φάκελο ήταν ένας γυμνός άνδρας γύρω στα τριάντα”, ανέφερε ο Nazarovas. “Από την πρώτη στιγμή κατάλαβα πως αυτός ο φάκελος δεν έπρεπε σε καμία περίπτωση να είναι δημόσιος”, πρόσθεσε.
Ο ίδιος τόνισε ότι οι φωτογραφίες δεν περιορίζονταν μόνο σε εικόνες προφίλ, αλλά περιλάμβαναν και ιδιωτικές φωτογραφίες που είχαν αποσταλεί μέσω μηνυμάτων – ακόμη και περιεχόμενο που είχε αφαιρεθεί από τους διαχειριστές των εφαρμογών.
Αν και τα προσωπικά μηνύματα δεν ήταν αποθηκευμένα με τον ίδιο τρόπο και οι εικόνες δεν περιείχαν ορατά στοιχεία χρηστών, κάτι που θα διευκόλυνε στοχευμένες επιθέσεις, το περιστατικό εξακολουθεί να δημιουργεί σοβαρές ανησυχίες για την ασφάλεια των δεδομένων.
Η εταιρεία επικοινώνησε με τον χάκερ, εκφράζοντας την ευγνωμοσύνη της για την αποκάλυψη του προβλήματος. Ωστόσο, δεν υπάρχει καμία εγγύηση ότι ο Nazarovas ήταν ο μόνος χάκερ που είχε πρόσβαση στο υλικό.