Hopp til navigasjon Hopp til innhold
Vi som resten av bransjen begynner å bli rimelig lei av svak sikkerhet på nett. Må det rett og slett stilles langt høyere sikkerhetskrav til utviklerne? (Ill.: TeenSafe Inc.)

App lagret tusenvis av Apple-passord i klartekst – hadde ikke passord på egen Amazon-server!

Nå må det stilles hardere krav ovenfor slike selskap.

Minst en av Amazon-serverne brukt av selskapet bak appen TeenSafe, TeenSafe Inc, lagret brukernes Apple-passord i klartekst.

Nesten ikke til å tro

For å gjøre sikkerhetsflausen komplett er det fra før slik at appen krever at to-trinns-verifisering er avslått slik at foreldrene kan følge med på hva småtassene driver med, inkludert meldinger, samtaler og hvilke apper som er installert.

Som om ikke det var «creepy» nok, har selskapet bak appen til iOS (det finnes også en til Android – det kan være greit å holde seg unna), altså bedrevet så slett sikkerhet (altså total mangel på sikkerhet) at de burde være bannlyst fra noen gang å skrive en app igjen.

Og dette er det sjokkerende i saken: det var selve innloggingen til Amazons servere som ikke krevde brukernavn og passord – den var rett og slett ikke sikret i det hele tatt, kombinert med at de altså lagret brukernavn og passord i klartekst.

Mannen som fant dette hullet fortjener en takk:

Ufattelig dårlig

Begge serverne er tatt ned (før dette skjedde var det minst 10 200 profiler registrert de siste tre månedene – noen av dem duplikater) etter at ZDNet varslet amatør-selskapet som nå varsler «kunder som potensielt er berørte». Med andre ord har de trolig ikke oversikt over det heller.

Selskapet hevder at de lagrer dataene sikkert og at de nyttegjør kryptering, men dette var altså løgn, og appen er fjernet fra Amerikanske App Store.

I tillegg til foreldrenes epost er følgende lekket:

  • Enhetsnavnet
  • Det helt unike enhetsnavnet (UUID)
  • Barnets Apple-passord i klartekst

 

 

Kilde:
ZDNet

Stikkord: Apple, appstore, iphone, personvern, sikkerhet