Een nieuwe mobiele app beschreven als de “Yelp voor conservatieven” lekt gebruiker records en business beoordelingen, volgens een franse security-onderzoeker.
De app, genaamd “63Red Veilig” is voorzien van een motto van “houden van conservatieven veilig” en werd gelanceerd in het weekend op de Apple en Google mobile app stores.
De app beschrijft zichzelf als een service waar gebruikers kunnen lezen of schrijven “beoordelingen van lokale restaurant en bedrijven vanuit een conservatief perspectief, helpen verzekeren[sic] je bent veilig als je winkelen en te eten!”
In interviews met de media, Scott Wallace, de app van de schepper zei hij bouwde de app na een reeks van incidenten waar de conservatieven werden gedwongen te vertrekken of neem MAGA gear uit eten in restaurants of in verschillende bedrijven verspreid over de VS.
Maar volgens Robert Dopen, een franse security-onderzoeker die online gaat, onder het pseudoniem van Elliot Anderson (de naam van de hoofdpersoon uit de Mr. Robot TV-show over hackers), de 63Red Veilig app lekt bijna alle van de gegevens.
Dopen, zegt de app van de broncode bevat de referenties van de auteur, maar ook een lijst van de API-eindpunten die deze verbinding maakt voor het opslaan of het ophalen van gegevens.
Deze backend API maakt geen gebruik van enige vorm van verificatie, Dopen zei. Dit betekent dat iedereen kan zien wat er op de app van de source code, voor de API eindpunten, en vervolgens het extraheren van gegevens uit de app server met geen uitdaging of beperking.
Afbeelding: Robert Dopen
Met behulp van deze techniek, de franse onderzoeker was in staat om te bepalen dat 4,466 gebruikers hadden zich ingeschreven en gemaakte profielen sinds de app start in het weekend.
Voor elk profiel, te Dopen, zei hij in staat was om het ophalen van informatie zoals gebruikersnaam, e-mail, avatar, een volgeling graaf, volgende graaf, profiel aanmaak/update-data, een verbod status, en iets als een ‘ hotscore.”
Afbeelding: Robert Dopen
Andere API eindpunten ook liet Dopen om gebruikers te blokkeren en knoeien met de apps database vastgelegd en verbergen van ongeoorloofde inbraak.
ZDNet vroeg Dopen in een interview eerder op de dag als hij kon ook knoeien met de ervaringen van bepaalde restaurants of bedrijven.
“Ik heb het niet getest, maar ik was in staat om bijna alles te doen, om eerlijk te zijn,” Dopen verteld.
Gevraagd waarom hij keek in de 63Red Veilig app, de onderzoeker zei dat dit was omdat hij een soortgelijk lek in een andere mobiele app voor AMERIKAANSE conservatieven in het verleden.
“Een aantal maanden geleden heb ik geanalyseerd van de Donald Daters / app drie uur na de release. Ik dacht dat het was leuk om het analyseren van de zelfde soort van ‘Donald Trump’ bijbehorende app,” zei hij tegen ZDNet.
Als voor 63Red en de veiligheid van de gebruikers, de onderzoeker zegt dat hij het niet melden aan het bedrijf van zijn bevindingen, die hij deelde in het openbaar in een Twitter draad.
“Ik heb geen contact met ze,” Dopen verteld. “Laten we zeggen dat ik niet echt als Troef fans.”
ZDNet heeft contact opgenomen met 63Red en haar oprichter over Dopen in de bevindingen van eerder vandaag dus kan het bedrijf maatregelen nemen en de update van de app van de gebruikers te beschermen gegevens. Het bedrijf ontwikkelt ook twee andere cda-gerichte apps genoemd 63red Nieuws en 63red Praten en werken op een andere naam 63red Verzamelen. Dopen is niet gekeken naar deze apps nog niet, maar hij vertelde ZDNet hij wil.
Meer data breach dekking:
Bedrijven zijn het lekken van gevoelige bestanden via Box accountsCitrix onthult inbreuk op de beveiliging van interne networkPOS bedrijf zegt hackers geplant malware op de klant networksHackers probeerde te stelen: €13 miljoen) van Malta ‘ s Bank of Valletta
Chinese hacken van de groep backdoors producten van drie Aziatische gaming companiesSaudi beller-ID app bladeren gegevens van 5+ miljoen gebruikers in een niet-beveiligde MongoDB serverMassive schending lekken 773 miljoen e-mail adressen, 21 miljoen wachtwoorden CNET
Hackers zetten om diefstal van data en wederverkoop op de Donkere Web voor hogere uitgaven TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters