Seznamka probourána: Student jednoduše získal občanské průkazy i intimnosti uživatelů. Teď upozorňuje veřejnost

Působila jako další nadějná seznamka. Aplikace Cerca získávala popularitu mezi studenty a mladými lidmi, sbírala osobní údaje a slibovala jejich zabezpečení. Student Alex Schapiro se tedy rozhodl zjistit, jestli je appka opravdu tak bezpečná, jak tvrdí. Narazil přitom na něco, co dokázal nazvat jen „naprosto šíleným únikem dat“. Na svém osobním blogu pak sdílel, co všechno zjistil, a jaká byla reakce vývojářů aplikace Cerca – a protože nebyla příliš uspokojivá, rozhodl se vzít situaci do vlastních rukou a sám informoval veřejnost.

Pomocí běžně dostupných nástrojů jako Charles Proxy nebo Burp Suite zjistil, že seznamka posílá jednorázové přihlašovací kódy (OTP) přímo v síťové odpovědi. Jinými slovy – ke každému účtu vám stačí znát jen telefonní číslo.

A právě ta čísla byla také snadno dohledatelná, protože API server aplikace nebyl chráněn, a vývojářská dokumentace byla veřejně dostupná na endpointu /docs. Endpoint si můžete představit jako místo, kam seznamka posílá dotaz a odkud dostane odpověď; v tomto případě byla odpovědí i data uživatelů.

Nejen, že přes dokumentaci mohl například vynutit propojení dvou uživatelských profilů (profile/macthes/create-match), ale po sepsání správného scriptu v programovacím jazyce Python si mohl vyžádat i data o základních profilech sezmamky. Stejně tak se mu vrátily i citlivé informace uživatelů jako telefonní čísla, sexuální preference nebo doklady totožnosti.

Právě údaj national_id_verified ukazoval, že seznamka si ukládá i pasy nebo občanky – údajně pro ověření identity. Celkově pak student objevil přes 6 000 uživatelů, z nichž přes dvě stovky měly v systému uložený průkaz totožnosti. Desítky dalších sdílely své intimní zprávy, fotky a citlivé osobní údaje, to vše bez skutečného zabezpečení.

Seznamka v rizikovosti pokračuje

Na situaci v únoru upozornil samotný autor průzkumu Alex Schapiro vývojáře aplikace Cerca – napřed se komunikace zdála smysluplná a vyústila v internetový hovor, ve kterém vývojáři vyjádřili své obavy a uznali chyby s příslibem, že se problém bude řešit. Jenže pak přišlo ticho.

Od té doby se Schapiro ozval vývojářům seznamky s upozorněními ještě párkrát, ale žádná zpětná reakce nepřišla a uživatelé aplikace rovněž nebyli varováni. Proto se rozhodl svůj etický hack zveřejnit, aby ostatní věděli, že i nové, moderně vypadající aplikace mohou být vážným rizikem pro soukromí.

Češi jsou rozhořčení. Digitální občanka měla chránit soukromí, přitom odesílá spoustu informací Libor Foltýnek Zprávičky Libor Foltýnek Zprávičky

Problémem v tomto případě tak není jen technická nedbalost, ale i falešné ujištění o bezpečnosti v podmínkách aplikace. Pokud seznamka nebo jakákoliv jiná aplikace sbírá osobní údaje, má odpovědnost je také chránit. V opačném případě může mít jejich únik fatální dopad; představte si, kdyby se podobně nedbale chovali například vývojáři populárního Tinderu.

Proč je důležité o takových případech informovat

Poučení zde míří na obě strany potenciálního konfliktu; jak vývojáře aplikací, která jakýmkoliv způsobem sbírají uživatelská data, tak i uživatele samotné. Vývojáři by se před vypuštěním svých aplikací měli ujistit, že jsou jejich systémy opravdu bezpečné, a pokud o bezpečnosti nejsou stoprocentně přesvědčeni, neměli by rovněž uživatelům žádné bezpečí slibovat.

Uživatelé by si zároveň měli vždy dobře rozmyslet, jaké své údaje svěřují, a hlavně komu. Případy jako tento jsou jedním z pádných důvodů, proč je spousta z nás proti nahrávání občanského průkazu či pasu do jakékoliv aplikace, nebo proč někteří uživatelé chytrých telefonů odmítají platit metodou NFC. Pokud tedy nechcete, aby nějaké údaje o vás v případě selhání zabezpečení unikly do špatných rukou, nevkládejte svou důvěru do všech společností, které ji slibují.

Případy jako tento zásadně narušují důvěru mezi poskytovateli služeb a uživateli. Jedním ze způsobů, jak důvěru bezpečně budovat, je ověřitelná spolehlivost a především i informovanost. V obou disciplínách ale vývojáři seznamky Cerca naprosto selhali.

Zasáhl vás někdy únik dat? Pokud ano, o co šlo?

Zdroj: Alex Schapiro