En ny mobil-app, der er beskrevet som “Yelp for de konservative” er utæt og bruger optegnelser og business-anmeldelser, efter at et fransk sikkerhedsekspert.
Den app, der hedder “63red Sikker,” har et motto om at “holde konservative sikker” og blev lanceret i løbet af weekenden på Apple og Google mobile app-butikker.
App ‘ en beskriver sig selv som en tjeneste, hvor brugerne kan læse eller skrive “anmeldelser af lokal restaurant og virksomheder fra et konservativt perspektiv, hjælpe forsikre[sic] du er sikker, når du shoppe og spise!”
I interviews i medierne, Scott Wallace, app ‘ s skaberen sagde han byggede den app, som efter en række episoder, hvor de konservative blev tvunget til at forlade eller tage MAGA gear ud og spise på restauranter eller indtaste forskellige virksomheder på tværs af USA.
Men ifølge Robert Døbe, en fransk sikkerheds-forsker, som går under pseudonymet Elliot Anderson (navnet på hovedpersonen fra Mr. Robot TV-show om hackere), 63red Sikker app er utæt næsten alle sine data.
Døbe siger, at app ‘ ens kildekode indeholder legitimationsoplysningerne for dens forfatter, men også en liste over API-slutpunkter, der oprettes forbindelse til at gemme eller hente data.
Denne backend API bruger ikke nogen form for godkendelse, Døbe sagde. Dette betyder, at alle kan se på app ‘ens kildekode, få API endpoints, og derefter udtrække data fra app’ s server, med ingen udfordring eller en begrænsning.
Billede: Robert Døbe
Ved hjælp af denne teknik, den franske forsker var i stand til at fastslå, at 4,466 brugere, der havde registreret og oprettet profiler, da app ‘ s lancering i løbet af weekenden.
For hver profil gælder det, Døbe sagde, at han var i stand til at hente oplysninger, såsom brugernavn, e-mail, avatar, tilhænger tæller, tæller følgende, profil oprettelse/opdatering datoer, et forbud status, og noget, der hedder en “hotscore.”
Billede: Robert Døbe
Andre API endpoints også tilladt Døbe for at blokere brugere og manipulere med apps database logs og skjule uautoriseret indtrængen.
ZDNet spurgte Døbe i et interview tidligere i dag, hvis han kunne også manipulere med brugernes anmeldelser af visse restauranter eller virksomheder.
“Jeg har ikke teste, men jeg var i stand til at gøre næsten alt, at være ærlig,” Døbe fortalte os.
Han blev spurgt, hvorfor han så ind i den 63red Sikker app, forskeren sagde, det var fordi han fandt en lignende lækage i en anden mobil app for OS-baseret konservative i fortiden.
“For nogle måneder siden jeg analyseret Donald Daters app tre timer efter dens udgivelse. Jeg troede, det var sjovt at analysere den samme type af ‘Donald Trump’ relaterede app,” fortalte han ZDNet.
Som for 63red og sikkerhed, dets brugere, som forskeren siger, at han ikke give meddelelse til selskabet om sine resultater, som han har delt offentligt i en Twitter-tråd.
“Jeg kunne ikke kontakte dem,” Døbe fortalte os. “Lad os sige, at jeg ikke virkelig kan lide Trump fans.”
Virksomheden udvikler også to andre konservative-fokuserede apps opkaldt 63red Nyheder og 63red Tale, og arbejder på en anden navngivet 63red Samle. Døbe har ikke kigget ind i disse apps endnu, men han fortalte ZDNet han vil.
ZDNet har kontaktet 63red og dets grundlægger, om at Døbe resultater tidligere i dag, så virksomheden kan gribe ind og opdatere sin app til at beskytte brugernes data.
“Vi tager dette spørgsmål meget alvorligt, og har allerede taget skridt til yderligere at beskytte vores data,” et selskab talsmand fortalte ZDNet via e-mail. “Sikkerheden for vores brugere, og de konservative generelt, er vores primære bekymring, og vi vil fortsætte med at forbedre vores systemer på nogen måde er muligt for at sikre deres sikkerhed.”
“Den person, der lagde mærke til det oprindelige problem aldrig fået adgang til alle brugerens adgangskoder, eller var i stand til at ændre eller ændre nogen data på vores servere, ej heller var de i stand til at logge ind til vores servere eller få adgang til vores databaser direkte,” siger virksomheden. “Den følsomme oplysninger, som de var i stand til at få adgang til, er nu blevet yderligere beskyttet.”
“Som vi har set i hele Usa, konservative især har været under angreb for deres politiske overbevisning – verbalt, fysisk og elektronisk. Dette er uacceptabelt i et frit samfund, og vi vil tage alle skridt til at standse det, og hjælpe vores brugere med at så godt.
“Vi ser denne person er ulovligt og mislykkede forsøg på at få adgang til vores database servere som en politisk motiverede angreb, og vil rapportere det til FBI senere i dag,” 63red tilføjet. “Vi håber, at lige som det er tilfældet med mange andre politisk motiverede internet-angreb, denne gerningsmanden vil blive bragt til retfærdighed, og vi vil forfølge denne sag, og alle andre angreb, til den yderste grad af loven. Vi logger al aktivitet mod alle vores servere, og vil præsentere disse logfiler som bevis for en forbrydelse.”
Artikel opdateret med 63red udsagn.
Mere data, brud dækning:
Virksomheder, der er lækker følsomme filer via Boksen accountsCitrix afslører brud på sikkerheden af interne networkPOS virksomheden står hackere plantet malware på kundens networksHackers forsøgte at stjæle €13 millioner fra Malta ‘ s Bank i Valletta
Kinesisk hacking gruppe bagdøre produkter fra tre Asiatiske gaming companiesSaudi opkalds-ID app giver data for 5+ millioner brugere i usikrede MongoDB serverMassive brud, lækager 773 millioner e-mail adresser, 21 millioner passwords CNET
Hackere tur til data tyveri og videresalg på den Mørke Web til højere udbetalinger TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre