Уязвимость приложения знакомств для геев под названием Jack'd обернулась утечкой в Сеть значительного объема фотографий пользователей, включая интимные снимки. Доступ к миллионам изображений фактически может получить любой интернет-пользователь.
Как сообщил BBC исследователь в сфере кибербезопасности Оливер Хаф, он обнаружил уязвимость в приложении Jack'd еще год назад и уведомил разработчиков сервиса о проблеме, но ошибка так и не была исправлена.
По словам Хафа, все снимки, загруженные пользователями сервиса, хранились на одном и том же облачном сервере компании Amazon, который не имеет защиты от доступа извне. Эксперт подчеркнул, что речь идет как про обычные фотографии, так и про "приватные" изображения, доступ к которым, согласно настройкам приложения, могут иметь только пользователи, выбранные владельцем снимка.
Как уточняет издание Ars Technica, в открытый доступ попали не только фотографии, но и данные о местоположении пользователей и иные связанные их профилями метаданные.
На этой неделе исполнительный директор владеющей сервисом компании Online Buddies Марк Джироламо сообщил журналистам Ars Technica, что уязвимость в приложении будет исправлена 7 февраля, но разработчики Jack'd не выпустили официального заявления по этому поводу, и, судя по всему, проблема до сих пор не решена.
Отметим, по данным магазина Google Play число загрузок Android-версии приложения Jack'd превышает 5 млн.
Это не первый такой случай. Например, в мае прошлого года в Сеть утекли данные тысяч пользователей приложения родительского контроля TeenSafe: два облачных сервера Amazon, используемых TeenSafe, были открыты для доступа без авторизации.