En ny mobil-app som beskrivs som “Yelp för konservativa” är läcker användare och företag recensioner, enligt en fransk säkerhet forskare.
Appen, som heter “63red Säker,” har ett motto av “hålla konservativa säkra” och lanserades under helgen på Apples och Googles mobila app stores.
Appen beskriver sig själv som en tjänst där användarna kan läsa eller skriva “recensioner av lokal restaurang och företag från ett konservativt perspektiv, hjälpa till att försäkra[sic] du är säker när du handlar och äter!”
I intervjuer med media, Scott Wallace, appens skapare, sade han byggt appen efter en rad incidenter där konservativa var tvungen att lämna eller ta MAGA redskap upp för att äta på restauranger eller ange olika företag över hela USA.
Men enligt Robert Döpa, en fransk säkerhet forskare som går ut på nätet under pseudonymen Elliot Anderson (namnet på huvudpersonen från Mr Robot TV-show om hackers), 63red Säker app läcker nästan alla sina uppgifter.
Döpa säger appens källkod innehåller bevis för dess författare, men också en lista över API-slutpunkter som den ansluts till att lagra eller hämta data.
Detta backend API använder inte någon form av autentisering, Döpa sagt. Detta innebär att vem som helst kan titta på appens källkod, för att få API-slutpunkter, och sedan extrahera data från app server med någon utmaning eller en begränsning.
Bild: Robert Döpa
Att använda denna teknik, franska forskare har kunnat fastställa att 4,466 användare hade registrerat och skapade profiler eftersom appen lanserades under helgen.
För varje profil, Döpa sa att han kunde hämta information såsom användarnamn, e-post, avatar, efterföljare räkna, följande räkna, profil, skapa/uppdatera datum, ett förbud status, och något som kallas en “hotscore.”
Bild: Robert Döpa
Andra API-slutpunkter också tillåtet att Döpa blockera användare och mixtra med apps-databas loggar och dölja obehöriga intrång.
ZDNet frågade Döpa i en intervju tidigare i dag om han kunde också mixtra med användarrecensioner för vissa restauranger eller företag.
“Jag har inte testa, men kunde jag göra nästan allt, för att vara frank,” Döpa berättade för oss.
Frågade varför han tittade i 63red Säker app, forskaren sade att detta var för att han hittade en liknande läcka i en annan mobil app för USA-baserade konservativa i det förflutna.
“För några månader sedan analyserade jag Donald Daters app tre timmar efter dess release. Jag tyckte det var roligt att analysera samma typ av ‘Donald Trump’ tillhörande appen”, sa han till ZDNet.
För 63red och säkerheten för sina användare, forskare säger att han inte underrätta bolaget om sina resultat, som han delat offentligt i en Twitter-tråd.
“Jag visste inte att kontakta dem,” Döpa berättade för oss. “Låt oss säga att jag verkligen inte gillar Trump fans.”
Bolaget utvecklar även två andra konservativa fokuserad apps som heter 63red Nyheter och 63red Prata, och arbetar på en annan som heter 63red Samlas. Döpte har inte tittat på dessa appar än, men han berättade ZDNet han kommer.
ZDNet har kontaktat 63red och dess grundare om Döpa slutsatser tidigare idag så företaget kan vidta åtgärder och uppdatera sin app för att skydda användarnas uppgifter.
“Vi tar denna fråga på stort allvar och har redan vidtagit åtgärder för att ytterligare skydda våra data,” en talesperson för företaget berättade ZDNet via e-post. “Säkerheten för våra användare, och de konservativa i allmänhet, är vår främsta oro, och vi kommer att fortsätta att förbättra våra system för att på något sätt går att garantera deras säkerhet.”
“Den individ som har märkt att det ursprungliga problemet aldrig fått tillgång till en användares lösenord, som inte heller var de kan ändra eller ändra några data på våra servrar, och inte heller skulle de kunna logga in på våra servrar eller tillgång till våra databaser direkt,” sade företaget. “Känslig information som de har tillgång till nu har dessutom skyddas.”
“Som vi har sett i Usa, konservativa särskilt har kommit under attack av sina politiska övertygelser – verbalt, fysiskt och elektroniskt. Detta är oacceptabelt i ett fritt samhälle, och vi kommer att vidta alla åtgärder för att stoppa det, och hjälpa våra användare i det också.
“Vi ser att denna person är olagligt och misslyckade försök att få tillgång till våra databasservrar som ett politiskt motiverade angrepp, och kommer att rapportera det till FBI senare idag,” 63red läggas till. “Vi hoppas att vi, precis som så många andra politiskt motiverade attacker på internet, den här gärningsmannen kommer att ställas inför rätta, och vi kommer att driva denna fråga, och alla andra typer av attacker, till största delen av lagen. Vi loggar all aktivitet mot alla våra servrar, och vi kommer att presentera de loggar som bevisning av ett brott.”
Artikeln uppdaterad med 63red uttalanden.
Mer dataintrång täckning:
Företag läcka känsliga filer via Rutan accountsCitrix avslöjar brott mot säkerheten för inre networkPOS säger att företaget hackare planterat skadlig kod på kunden networksHackers försökte stjäla 13 miljoner euro från Malta ‘ s Bank of Valletta
Kinesisk hacka grupp bakdörrar produkter från tre Asiatiska gaming companiesSaudi nummerpresentation app lämnar uppgifter av 5+ miljoner användare i oprioriterade MongoDB serverMassive brott mot läckage 773 miljoner e-postadresser, 21 miljoner lösenord CNET
Hackare vända sig till stöld av data och försäljning på den Mörka Webben för högre utbetalningar TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter