Специалисты по кибербезопасности из компании Trustwave нашли ошибку в приложении для отправки сообщений Go SMS Pro, из-за которой пересылаемые данные пользователей попадают в открытый доступ.
Подробности инцидента
- Альтернативный мессенджер для отправки СМС-сообщений Go SMS Pro, который в Google Play скачали более 100 миллионов пользователей, выгружает данные переписок в сеть.
- Каждому фото-, видео- или аудиофайлу присваивается URL-ссылка без защиты и пароля (пример можно посмотреть здесь). Теоретически получить доступ к ним мог любой пользователь Сети.
- Исследователи Trustwave несколько раз писали разработчику о проблеме, отправляя отчеты о работе приложения с августа по ноябрь. Однако ответа так и не получили.
- После истечения 90 дней с момента первого обращения (стандартное время на устранение уязвимостей) Trustwave передала данные в прессу. Ресурс TechCrunch, который написал в Сети о проблеме, рекомендует не пользоваться приложением до тех пор, пока разработчики официально не заявят об исправлении бага.
Мессенджер Go SMS Pro
- Приложение является разработкой компании GO Dev Team и представляет из себя полную замену стандартного приложения для работы с СМС для системы Android.
- Мессенджер имеет большую производительность и функционал, имеет эргономичный интерфейс со всплывающими сообщениями. С его помощью можно сохранять и восстанавливать файлы, шифровать сообщения. Чаты можно распределять по папкам.
Наиболее распространенные уязвимости мессенджеров
- Характерный баг имеют мессенджеры, синхронизирующие диалоги со списком контактов в памяти телефона. В сентябре 2020 года исследователи Вюрцбургского университета обвинили WhatsApp, Signal и Telegram в недостаточной защите своих пользователей. Все эти сервисы раскрывают персональные данные через сервисы поиска контактов по номерам телефонов, хранящихся в адресной книге. Исследователи кибербезопасности, используя эту уязвимость, смогли раздобыть не только данные пользователей, но и номера людей, не имеющих аккаунтов в указанных приложениях.
- E2EE-шифрование (больше известное как «сквозное» или «оконечное»), которое называют самым продвинутым средством защиты персональных данных в мессенджерах, в чистом виде используется только в мессенджере Signal. В WhatsApp отсутствует функция блокировки сообщений при выявлении возможных угроз безопасности. В Viber и Telegram сквозное шифрование нужно запускать отдельно: в первом случае в настройках, во втором – создав специальный секретный чат.
- Наиболее уязвимы с точки зрения безопасности в мессенджерах и социальных сетях групповые чаты, где все участники могут не только скачивать любые файлы, но и делать скриншоты сообщений и списков участников. В них сложно отследить, какой из пользователей может стать источником утечки (а также украл ли он информацию сам или был взломан).
Самые громкие случаи утечек персональных данных
- 23 июня 2020 года стало известно об утечке информации 5 миллионов пользователей, предположительно с сайта SuperJob. Однако пресс-служба компании опровергла информацию.
- 16 апреля 2020 года была обнаружена база данных с информацией более чем о 970 тысячах клиентов компаний «К-Руока» и «К-Раута». Сейчас по этому факту Генпрокуратура РФ ведет проверку.
- 5 августа 2019 года в системе Бинбанка (принадлежит «Открытию») была выявлена уязвимость, в результате которой методом подбора можно было получить доступ к ФИО, паспортным данным, телефону и адресу проживания клиентов. На данный момент баг устранен.
- 10 июля 2019 года произошла утечка данных 450 тысяч пользователей интернет-магазина Ozon. Компания направила своим клиентам просьбы о смене паролей и обновлении антивирусного софта.