แอปติดตามครอบครัวที่ได้รับความนิยม เผยข้อมูลตำแหน่งแบบเรียลไทม์บนอินเทอร์เน็ต โดยไม่ต้องใช้รหัสผ่าน

แอปติดตามครอบครัวที่ได้รับความนิยม เผยข้อมูลตำแหน่งแบบเรียลไทม์บนอินเทอร์เน็ต โดยไม่ต้องใช้รหัสผ่าน

ผู้ใช้ส่วนบุคคลจำนวนมากกว่า 238,000 คน เผยตำแหน่งแบบเรียลไทม์ของครอบครัวเป็นเวลาหลายสัปดาห์ หลังจากที่ผู้พัฒนาแอปปล่อยให้ข้อมูลสำคัญถูกเปิดเผยบนอินเทอร์เน็ต โดยไม่ต้องใช้รหัสผ่าน

ผู้ใช้หลายคนของ “ Family Locator” เป็นแอปใน iOS ที่ถูกพัฒนาโดย React App ได้รับการสนับสนุนเป็นเครื่องมือในการช่วยให้ผู้ใช้รับทราบข้อมูลเกี่ยวกับตำแหน่งคนในครอบครัว ชำระเงินเพียงครั้งเดียว คุณจะได้รับซอฟต์แวร์จากนักพัฒนาซอฟต์แวร์ของออสเตรเลีย คุณสามารถติดตามสมาชิกครอบครัว หรือเพื่อนได้มากถึง 10 คน คุณจะได้รับ “การแจ้งเตือนทันทีเมื่อคนที่คุณรัก เข้าหรือออกจากที่ตั้งใดๆ” และได้รับการแจ้ง “ประวัติสถานที่โดยละเอียด โดยสามารถย้อนไปได้ถึงสามวันสุดท้าย”

เป็นเรื่องง่ายที่จะจินตนาการว่าบางคนอาจดูแอปเช่นนี้ เพื่อให้ความมั่นใจกับตัวเองว่า คนที่คุณเป็นห่วงออกจากสำนักงาน หรือไปถึงที่ทำงานของเขา หรือเด็กๆไปถึงโรงเรียนอย่างปลอดภัยเรียบร้อยแล้ว

แต่ใครก็ตามที่ต้องการความมั่นใจเช่นนี้ อาจจะไม่มีความสุขเลยที่ได้ยินว่า ข้อมูลที่ละเอียดอ่อนเกี่ยวกับคนที่รักของพวกเขาแบบเรียลไทม์สามารถเข้าถึงได้โดยใครก็ตามที่เชื่อมต่ออินเทอร์เน็ตได้

ตามรายงาน TechCrunch ฐานข้อมูล MongoDB ของ Family Locator นั้นไม่มีการป้องกันการเข้ารหัส และไม่มีการป้องกันด้วยรหัสผ่านในรูปแบบใดๆบนอินเทอร์เน็ต

“Based on a review of the database, each account record contained a user’s name, email address, profile photo and their plaintext passwords. Each account also kept a record of their own and other family members’ real-time locations precise to just a few feet. Any user who had a geofence set up also had those coordinates stored in the database, along with what the user called them – such as ‘home’ or ‘work.'”

 

จากการตรวจสอบฐานข้อมูลแต่ละเร็กคอร์ด บัญชีจะมีชื่อผู้ใช้ ที่อยู่ อีเมล รูปโปรไฟล์ และรหัสผ่านแบบธรรมดา แต่ละบัญชียังเก็บบันทึกตำแหน่งของตนเอง และสมาชิกในครอบครัวแบบเรียลไทม์อย่างแม่นยำและมีความคลาดเคลื่อนเพียงไม่กี่ฟุต เมื่อผู้ใช้มีการตั้งค่าตำแหน่งทางภูมิศาสตร์ จะมีพิกัดเหล่านั้นเก็บไว้ในฐานข้อมูล พร้อมกับสิ่งที่ผู้ใช้เรียกพวกเขา เช่น 'บ้าน' หรือ 'ทำงาน' เป็นต้น

นักวิจัยด้านความปลอดภัย Sanyam Jain ค้นพบการละเมิดข้อมูล และแจ้ง TechCrunch ซึ่งสามารถยืนยันได้ว่าฐานข้อมูลที่เปิดเผยยังคงบันทึกตำแหน่งของผู้ใช้แบบเรียลไทม์อย่างต่อเนื่อง โดยบัญชีที่ใช้ในการสมัครเป็นบัญชีที่ใช้ที่อยู่อีเมลปลอม

TechCrunch ยังติดต่อผู้ใช้ที่เปิดเผยความเป็นส่วนตัว ซึ่งยืนยันข้อมูลตำแหน่งที่รั่วไหลว่าถูกต้อง และสมาชิกในครอบครัวที่ระบุในแอปเป็นลูกของพวกเขาที่โรงเรียนมัธยมใกล้เคียง

ซึ่งตามปกติในขั้นตอนนี้คุณคาดว่าจะได้ยินว่า นักข่าวหรือนักวิจัยติดต่อกับผู้พัฒนา และกระตุ้นให้พวกเขาปิดช่องโหว่ด้านความปลอดภัยเป็นเรื่องสำคัญ

อย่างไรก็ตามในโอกาสนี้ TechCrunch รายงานว่า ได้ใช้เวลานานกว่าหนึ่งสัปดาห์ ได้พยายามติดต่อแอป React เพื่อประโยชน์ผ่านเว็บไซต์ของบริษัท ไม่มีข้อมูลการติดต่อบันทึก WHOIS นั้นได้รับการปกป้องความเป็นส่วนตัว และข้อความที่โพสต์ในแบบฟอร์มข้อเสนอแนะออนไลน์ แต่ยังไม่ได้รับคำตอบ นักข่าวจึงพยายามเข้าถึงการซื้อบันทึกทางธุรกิจของบริษัท ซึ่งเปิดเผยชื่อเจ้าของบริษัท แต่ยังไม่ได้ให้ข้อมูลการติดต่อ

ท้ายที่สุดเมื่อไม่มีตัวเลือกอื่น TechCrunch จึงติดต่อ Microsoft เนื่องจากฐานข้อมูลที่เปิดเผยนั้น มีโฮสต์อยู่บนแพลตฟอร์มเซิร์ฟเวอร์คลาวด์ Azure ของ Microsoft ดูเหมือนว่าพวกเขาสามารถเข้าถึงนักพัฒนาซอฟต์แวร์ และในไม่กี่ชั่วโมงต่อมาฐานข้อมูลก็ถูกออฟไลน์ลง

ยังไม่มีคำแถลงอย่างเป็นทางการจาก React Apps ที่ยอมรับการละเมิดข้อมูล หรือเตือนผู้ใช้ว่าเหตุการณ์ด้านความปลอดภัยเกิดขึ้นจากความสะเพร่าของตัวเอง

เราควรขอบคุณสำหรับการคงอยู่ของ TechCrunch และนักวิจัยด้านความปลอดภัย Sanyam Jain ที่ทำงานอย่างหนักเพื่อแก้ไขปัญหา และไม่ยอมแพ้เมื่อเผชิญหน้ากับทางตันทุกครั้งที่พวกเขาพยายามเข้าถึงผู้รับผิดชอบ

ยังเป็นเรื่องที่น่าเสียใจว่า มีรายงานพบว่ามีข้อมูลรั่วไหลออกมาเป็นจำนวนมาก ผ่านการรักษาความปลอดภัยแบบหละหลวมบนเซิร์ฟเวอร์ MongoDB

BitdefenderTotal Security 2020

ราคาปกติ: ฿1,839.00

ประหยัด:฿739.00

ราคาพิเศษ: ฿1,100.00

Post Releases