Сервис KidSecurity сливает чаты и ПДн, собранные с телефонов детей

Разработчики приложения KidSecurity (более миллиона загрузок в Google Play) недостаточно защищают свои серверы — это уже второй случай, когда команда исследователей Cybernews обнаруживает большие объемы конфиденциальных данных в открытом доступе.

В прошлом году они обнаружили, что плохо защищенные серверы Elasticsearch и Logstash казахстанского вендора KidSecurity позволяют легко получить номера телефонов, электронные письма и платежную информацию клиентов (всего более 300 миллионов). Как выяснилось, кластер брокеров Kafka, используемый программой родительского контроля, также подвергся утечке, которая продолжалась более года.

Через эти серверы в режиме реального времени проходят большие объемы информации (от мобильных телефонов детей до устройств родителей). В феврале прошлого года в кэше было обнаружено более 100 Гбайт данных: за один час наблюдения брокер получил 456 000 личных сообщений, отправленных из приложений социальных сетей, и статистику использования программ, установленных на 11 000 мобильных телефонов.

Анализ кэшированных данных показал, что брокер Kafka допустил утечку следующей информации:

• сообщения детей в Instagram* (признана экстремистской и запрещена в России), WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России), Telegram, Viber, ВКонтакте, в том числе в групповых чатах (можно узнать, например, номер школы и класс); email-адреса родителей;
• IP-адреса;
• cведения из аккаунтов в магазинах приложений (страна, валюта оплаты, дата оформления и срок действия подписки);
• списки установленных приложений, статистика использования; полученные ребенком награды (спорт, помощь по дому и т. п.);
• фоновые аудиозаписи с микрофона;
• IMEI;
• местоположение;
• уровень заряда батареи.

Утечка информации затронула несовершеннолетних пользователей и друзей по переписке в различных регионах, в первую очередь в России, Восточной Европе и на Ближнем Востоке. Доступ к кластеру Kafka был защищен после уведомления исследователей.

Ранее стало известно, что в 2024 году появится новый механизм борьбы с атаками через QR-код. Подробнее об этом читайте в материале IT INFO MEDIA.

* — признана экстремистской и запрещена на территории РФ.