ที่เก็บข้อมูลบนคลาวด์แบบเปิด, แอปพลิเคชันเซิร์ฟเวอร์ที่ไม่ได้รับการป้องกัน, อินเทอร์เฟซการเขียนโปรแกรมแบบมีรู... ในแง่ของความปลอดภัย เป็นเรื่องยากที่จะจินตนาการว่าแย่กว่าผู้เผยแพร่รายนี้ที่เชี่ยวชาญด้านการควบคุมโดยผู้ปกครอง
แนวสีดำในตลาดซอฟต์แวร์สอดแนมสำหรับผู้บริโภคยังคงดำเนินต่อไป หลังจากที่สำนักพิมพ์ถูกแฮ็กสปายฮิวแมนเมื่อเดือนกรกฎาคมปีที่แล้ว SpyFone ถึงคราวถูกตรึงไว้ ในขณะที่ทำการวิจัยบนเว็บ แฮ็กเกอร์ได้ค้นพบฐานข้อมูล Amazon S3 ขนาดยักษ์จากผู้เผยแพร่รายนี้ ซึ่งส่วนใหญ่อยู่ในตำแหน่งการควบคุมโดยผู้ปกครอง ตามเมนบอร์ดพื้นที่จัดเก็บข้อมูลซึ่งไม่สามารถเข้าถึงได้อีกต่อไป ประกอบด้วยข้อมูลลูกค้าและข้อมูลของผู้ที่ถูกติดตาม เช่น ภาพเซลฟี่ ข้อความ ข้อความบน Facebook การบันทึกเสียง รายชื่อติดต่อ ตำแหน่งทางภูมิศาสตร์ รหัสผ่าน และตราประทับการเข้าสู่ระบบ ฯลฯ
เห็นได้ชัดว่าฐานข้อมูลนี้อยู่ในการผลิต: มาเธอร์บอร์ดสร้างบัญชีทดสอบ SpyFone ก่อนที่จะถ่ายรูปสองสามภาพ และแฮ็กเกอร์สามารถกู้คืนพวกมันได้เกือบจะในทันทีและส่งพวกมันไปที่นิตยสาร ตามที่เขาพูด มันเป็นไปได้ที่จะนำทางผ่าน“ภาพถ่ายที่ไม่ได้เข้ารหัสจำนวนเทราไบต์”- ข้อมูลการบริการตนเองนี้เกี่ยวข้องกับลูกค้าอย่างน้อย 2,208 รายสำหรับสมาร์ทโฟนที่ได้รับการตรวจสอบ 3,666 เครื่อง ตามที่นักวิจัยด้านความปลอดภัย Troy Hunt ซึ่งสามารถวิเคราะห์ฐานข้อมูลนี้โดยเป็นส่วนหนึ่งของเว็บไซต์ของเขาHaveIBeenPwned.comนอกจากนี้ยังมีที่อยู่อีเมลที่ไม่ซ้ำกัน 44,109 รายการ
เซิร์ฟเวอร์เปิดรับทุกลม
แต่นั่นไม่ใช่ทั้งหมด แอปพลิเคชันเซิร์ฟเวอร์ "แบ็คเอนด์" ยังเข้าถึงได้ง่ายจากภายนอก แฮกเกอร์นิรนามอธิบายว่าเขาสามารถสร้างบัญชีผู้ดูแลระบบได้หลายบัญชีและดำเนินการวิจัยข้อมูลลูกค้าโดยตรง ในที่สุด มีข้อบกพร่องใหญ่ใน API ของ SpyFone ที่ทำให้ทุกคนสามารถเรียกค้นรายชื่อลูกค้าของผู้เผยแพร่ได้ โดยที่พวกเขารู้ URL ที่ถูกต้อง มาเธอร์บอร์ดจึงสามารถระบุรายชื่อผู้คนได้ 11,000 คน พร้อมด้วยนามสกุล ชื่อ อีเมล และที่อยู่ IP
เป็นเรื่องยากที่จะพบสิ่งเลวร้ายมากมายในบริการดิจิทัลเดียว สำหรับสมาคมสิทธิพลเมือง EFF นั้น SpyFone เป็นทั้งสองอย่าง“ร่มรื่น ไร้ความรับผิดชอบ และไร้ความสามารถ”- ในส่วนของผู้จัดพิมพ์พยายามอย่างเต็มที่เพื่อแก้ไขสถานการณ์ มีการสอบสวนภายในเพื่อค้นหาขอบเขตทั้งหมดของเรื่องนี้ โฆษกของมาเธอร์บอร์ดกล่าวว่าเขารู้สึกโล่งใจที่มีผู้ซื่อสัตย์พบข้อบกพร่อง น่าเสียดายที่ไม่มีใครรู้ว่าแฮกเกอร์รายนี้เป็นคนแรกจริงๆ หรือไม่ ข้อมูลทั้งหมดนี้อาจมีการหมุนเวียนอยู่ใน Dark Net แล้ว
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
