Z aplikace, prostřednictvím které rodiče sledují, co jejich dětí dělají na telefonu, unikly desítky tisíc přihlašovacích údajů, včetně Apple ID dětí. Uniklá data patřila uživatelům aplikace TeenSafe, což měla být bezpečná aplikace pro monitorování iOS a Android zařízení. Rodiče si tak mohli prohlížet textové zprávy dětí, jejich polohu, historii volání, historii prohlížení webu a nainstalované aplikace.
Databáze uživatelů byla uložena na dvou serverech hostovaných Amazon Web Services, kde zůstala data nechráněná a přístupná bez hesla. Přišel na to výzkumný pracovník v oblasti bezpečnosti. Servery byly odstaveny až poté, co server ZDNet upozornil společnost, která je za aplikaci TeenSafe zodpovědná.
Mohlo by vás zajímat
„Udělali jsme veškeré kroky k tomu, abychom zastavili pro veřejnost jeden z našich serverů, a začali jsme upozorňovat zákazníky, jejichž účet mohl být napaden,“ uvedla mluvčí společnosti TeenSafe.
Informace v databázi obsahovaly e-mailové adresy rodičů, kteří používali TeenSafe, e-mailové adresy vázané k Apple ID dětí, jméno zařízení dětí a jedinečný identifikátor. Hesla k Apple ID byla uložena jako prostý text, a to i navzdory tomu, že společnost na svých webových stránkách tvrdí, že používá šifrování k ochraně dat uživatelů.
Aby mohli rodiče sledovat přes aplikaci mobilní zařízení svých dětí, musela být u Apple ID dítěte vypnuta dvoufaktorová autentizace. Jedině tak mohl rodič sledovat telefon dítěte bez jeho souhlasu. Znamená to tedy, že útočník by měl potenciálně přístup k účtu dítěte pomocí přihlašovacích údajů, které by našel na serveru.
Společnost tvrdí, že služby momentálně využívá na 1 milion rodičů, i když servery obsahovaly nejméně 10 200 záznamů za poslední tři měsíce.
