Minst en av Amazon-serverne brukt av selskapet bak appen TeenSafe, TeenSafe Inc, lagret brukernes Apple-passord i klartekst.
Nesten ikke til å tro
For å gjøre sikkerhetsflausen komplett er det fra før slik at appen krever at to-trinns-verifisering er avslått slik at foreldrene kan følge med på hva småtassene driver med, inkludert meldinger, samtaler og hvilke apper som er installert.
Som om ikke det var “creepy” nok, har selskapet bak appen til iOS (det finnes også en til Android – det kan være greit å holde seg unna), altså bedrevet så slett sikkerhet (altså total mangel på sikkerhet) at de burde være bannlyst fra noen gang å skrive en app igjen.
Og dette er det sjokkerende i saken: det var selve innloggingen til Amazons servere som ikke krevde brukernavn og passord – den var rett og slett ikke sikret i det hele tatt, kombinert med at de altså lagret brukernavn og passord i klartekst.
Annonse
Mannen som fant dette hullet fortjener en takk:
Wish sites that boasted about how secure things are had a clear link under it to report security issues
— Random Robbie (@Random_Robbie) May 19, 2018
Ufattelig dårlig
Begge serverne er tatt ned (før dette skjedde var det minst 10 200 profiler registrert de siste tre månedene – noen av dem duplikater) etter at ZDNet varslet amatør-selskapet som nå varsler “kunder som potensielt er berørte”. Med andre ord har de trolig ikke oversikt over det heller.
Selskapet hevder at de lagrer dataene sikkert og at de nyttegjør kryptering, men dette var altså løgn, og appen er fjernet fra Amerikanske App Store.
I tillegg til foreldrenes epost er følgende lekket:
- Enhetsnavnet
- Det helt unike enhetsnavnet (UUID)
- Barnets Apple-passord i klartekst
Kilde:
ZDNet
Annonse
