Petek, 8. 12. 2017, 14.25
7 let
Malomarnost razvijalca navidezne tipkovnice razkrila podatke 31 milijonov uporabnikov
Zbirka podatkov o uporabnikih virtualne tipkovnice AI.type za mobilne naprave ni bila zaščitena niti z geslom.
AI.type je prilagodljiva navidezna tipkovnica, ki jo na zaslonih svojih mobilnih naprav uporablja več kot 40 milijonov uporabnikov po vsem svetu. Prilagodljivost omogočajo uporabniški profili, ki med drugim spremljajo, kaj uporabniki tipkajo, in vsebujejo osebne podatke uporabnikov.
Na stežaj odprto
Toda na strežniku, ki je hranil te podatke in katerega lastnik je soustanovitelj družbe AI.type Eitan Fitusi, niso poskrbeli niti za najbolj osnovno računalniško varnost. Dostop do zbirk ni bil zaščiten niti z geslom, zato so podatki več kot 31 milijonov uporabnikov pristali v javnosti. Do njih je namreč lahko brez kakršnihkoli ovir lahko dostopal kdorkoli.
V 577 gigabajtih oskrunjenih podatkov naj bi bili le podatki uporabnikov naprav z operacijskim sistemom Android, so ugotovili strokovnjaki računalniške varnosti družbe Kromtech Security Center, ki so vso luknjo odkrili.
Prepozno, a vendarle – Fitusi naj bi po odkritju te malomarnosti dostop do strežnika zavaroval, je poročal ZDNet, ki je med prvimi poročal o dogodku.
Pri pregledu dela od 577 gigabajtov odtujenih podatkov se je izkazalo, da je aplikacija v svoji brezplačni različici zbirala veliko različnih osebnih podatkov, ki jih za svoje delovanje prav gotovo ne potrebuje.
Pester nabor oskrunjenih podatkov
Vsak zapis v množici ukradenih podatkov vsebuje polno ime uporabnika, njegov e-naslov, natančno lokacijo in kdaj je na svojo mobilno napravo namestil ranljivo aplikacijo.
Toda brezplačna različica programa zbira še več podatkov od plačljive različice, saj s temi podatki pospešujejo monetizacijo prek oglaševanja. V tem primeru je javnost izvedela natančne podatke o mobilni napravi, različici operacijskega sistema ter SIM-kartici in s tem tudi telefonski številki.
Pri velikem številu uporabnikov so bile podrobnosti njihovega javnega profila, vključno z e-naslovi, rojstnimi podatki, spolom in profilnimi fotografijami. "Padli" so tudi seznami naslovov in telefonskih številk, v nekaterih primerih tudi seznam nameščenih aplikacij na mobilni napravi.
Zakaj bi aplikacija sploh potrebovala vse te osebne podatke, pa je gotovo vprašanje zase. Že res, da virtualne tipkovnice za svoje delovanje potrebujejo številna dovoljenja, a ni smiselnega opravičila, zakaj bi te podatke morale tudi zbirati.