O aplicativo de rastreamento Family Locator expôs locais em tempo real, dados pessoais de usuários

Aplicativos de rastreamento pessoal podem ser úteis nas situações certas; como lembrar os locais visitados ou acompanhar os entes queridos. Mas essa utilidade depende do aplicativo que mantém os dados dos usuários seguros e protegidos. Infelizmente para os usuários do Family Locator, um aplicativo de rastreamento para iOS voltado para famílias, ele também não deixou, deixando uma grande quantidade de dados pessoais, incluindo locais em tempo real, expostos para qualquer pessoa encontrar.

As falhas flagrantes de segurança do Family Locator foram descobertas pelo pesquisador de segurança Sanyam Jain e relatadas pela primeira vez. O aplicativo vem do desenvolvedor da React Apps, com sede na Austrália, e entre os recursos estão o rastreamento de localização em tempo real para os membros da família, além de notificações baseadas em geocerca para quando alguém entra ou sai de um local específico.

Jain descobriu que os servidores do aplicativo não estavam protegidos por senha e que o banco de dados de back-end também estava desprotegido. Pior ainda, esse banco de dados, que incluía uma grande quantidade de dados pessoais de cada usuário, era completamente criptografado. Esses detalhes incluem nomes de usuários, endereços de e-mail, senhas em texto simples e locais específicos em tempo real para os membros da família, bem como quaisquer coordenadas de cercas geográficas que foram configuradas.

Essa coleta de dados sobre os mais de 238.000 usuários do aplicativo foi exposta por pelo menos várias semanas, onde qualquer pessoa poderia encontrá-lo. chegou ao ponto de criar e inserir uma conta fictícia, apenas para aparecer no banco de dados com sua localização em segundos, além de entrar em contato com um usuário aleatório para confirmar se seus dados pessoais estavam corretos.

O React Apps ainda não reconheceu os dados expostos, e eles não podem ser contatados pelo site ou pelos registros comerciais australianos. Felizmente para usuários que ainda não aprenderam sobre essa situação, a Microsoft retirou o banco de dados, que estava sendo hospedado na nuvem do Azure, depois de ser contatado por.

Artigos Relacionados

Back to top button