TeenSafe
14

Jak można w tak głupi sposób ujawnić dane użytkowników? Widocznie można

Nie tak dawno opisywałem dla Was raport, który ujawnił najgorsze przewiny firm w kontekście bezpieczeństwa swoich infrastruktur. Niedbalstwo często wynika z braku czasu na łatanie błędów lub niewielkiej ilości zasobów ludzkich do przyglądnięcia się im. Jak można więc skomentować incydent, który odbył się z udziałem TennSafe? Tam dopuszczono się już bardzo rażącego naruszenia wszelkich standardów.

TeenSafe to pewnie słabo znana Wam aplikacja. Jej zadaniem jest monitorowanie aktywności młodszych użytkowników urządzeń mobilnych z systemami iOS oraz Android. Jest to program dedykowany bezpieczeństwu dzieci – pozwala m. in. na ustalenie aktualnej lokalizacji urządzenia: rodzic dzięki temu wie np. czy jego pociecha aktualnie znajduje się w szkole. Mało tego, może sprawdzić historię przeglądania oraz listę ostatnio zainstalowanych aplikacji. Mogłoby się wydawać więc, że usługa powiązana wprost z bezpieczeństwem będzie stać na straży jak najwyższych standardów w kontekście zabezpieczania danych klientów. Nic z tego – TeenSafe udało się w głupi sposób udowodnić, że jest od tego dalekie.

Dane klientów w plaintext. Serio?!

Robert Wiggins, ekspert ds. cyberbezpieczeństwa znalazł dwa serwery, z których w bardzo prosty sposób można było wyciągnąć dane. Mało tego, były one właściwie… niezabezpieczone: każdy, kto o nich wiedział, nawet bez uwierzytelnienia się mógł pobrać z nich informacje. ZDNet, który był pierwszym medium donoszącym o tej wpadce skontaktował się z usługodawcą, po czym dziury szybko zostały zlikwidowane. TeenSafe utrzymuje, że znajdowały się tam jedynie „testowe dane”, ale okazuje się, że… można było z nich wyłuskać prawdziwe informacje użytkowników.

dane plaintext

Co gorsza, adresy e-mail, hasła oraz Apple ID były zapisane… w plaintekście. Oznacza to, że te dane nie były w żaden sposób zaszyfrowane – gdyby te trafiły do cyberprzestępców, zapewne mielibyśmy do czynienia z bardzo poważnym wyciekiem. Z TeenSafe w tym momencie korzysta milion użytkowników na całym świecie – na szczęście nie wszyscy zostali narażeni na utratę danych. W przechwyconej bazie znajdowało się nieco ponad 10 000 rekordów.

TeenSafe utrzymuje, że to mało istotny incydent

Na serwerach miały znajdować się testowe dane, aczkolwiek znaleziono tam również prawdziwe informacje użytkowników usługi. Niemniej, TeenSafe w swoich oświadczeniach twierdzi, że reszta informacji jest odpowiednio zabezpieczona, również szyfrowaniem. Dwa serwery, do których dostęp miał właściwie każdy, kto o nich wiedział zostały „odbezpieczone” całkowicie przypadkowo i rzekomo nie ma to wpływu na bezpieczeństwo całej infrastruktury oraz klientów usługi. Ja nie byłbym absolutnie co do tego przekonany: zresztą jestem niesamowicie zniesmaczony tym, że firma która powinna stać na straży bezpieczeństwa danych swoich użytkowników dopuszcza się takich praktyk – nawet, jeżeli mowa tutaj o „testach”. To absolutnie nie powinno tak wyglądać.