Διέρρευσαν προσωπικές φωτογραφίες από 5 dating apps
Διαβάζεται σε 3'
Πάνω από 1 εκατομμύριο φωτογραφίες από εφαρμογές γνωριμιών διέρρευσαν στο διαδίκτυο. Ο “ηθικός” χάκερ που εντόπισε το σφάλμα.
- 30 Μαρτίου 2025 09:57
Σοβαρό ζήτημα παραβίασης προσωπικών δεδομένων προέκυψε όταν ερευνητές ανακάλυψαν ότι σχεδόν 1,5 εκατομμύριο φωτογραφίες – πολλές εκ των οποίων αποκαλυπτικές – από εξειδικευμένες εφαρμογές γνωριμιών, ήταν αποθηκευμένες online χωρίς κανέναν απολύτως κωδικό πρόσβασης, αφήνοντάς τες ευάλωτες σε χάκερ και εκβιαστές.
Οι φωτογραφίες προέρχονται από πέντε εφαρμογές της εταιρείας M.A.D Mobile: τις BDSM People και Chica, με φετιχιστικό περιεχόμενο, και τις LGBT εφαρμογές Pink, Brish και Translove.
Οποιοσδήποτε διέθετε τον σχετικό σύνδεσμο μπορούσε να δει ιδιωτικές φωτογραφίες χρηστών, καθώς οι εν λόγω υπηρεσίες χρησιμοποιούνται συνολικά από περίπου 800.000 έως 900.000 άτομα.
Παρότι η εταιρεία είχε ειδοποιηθεί για το σφάλμα ήδη από τις 20 Ιανουαρίου, δεν προχώρησε σε καμία ενέργεια μέχρι να επικοινωνήσει μαζί της το BBC, αρκετές εβδομάδες αργότερα. Η M.A.D Mobile διόρθωσε το κενό ασφαλείας, ωστόσο δεν έχει δώσει ακόμη καμία σαφή απάντηση για το πώς προέκυψε η διαρροή ούτε γιατί άφησε εκτεθειμένα τόσο ευαίσθητα δεδομένα για τόσο μεγάλο διάστημα.
Το σοβαρό κενό ασφαλείας εντόπισε πρώτος ο “ηθικός χάκερ” Aras Nazarovas από το Cybernews, ο οποίος, αναλύοντας τον κώδικα των εφαρμογών γνωριμιών, κατάφερε να εντοπίσει την τοποθεσία του διαδικτυακού αποθηκευτικού χώρου που χρησιμοποιούσαν.
Όπως αναφέρει το BBC, ο ίδιος σοκαρίστηκε από το γεγονός ότι μπορούσε να έχει πρόσβαση στις μη κρυπτογραφημένες και μη προστατευμένες φωτογραφίες χωρίς κανένα κωδικό πρόσβασης.
“Η πρώτη εφαρμογή που εξέτασα ήταν η BDSM People και η πρώτη εικόνα στον φάκελο ήταν ένας γυμνός άνδρας γύρω στα τριάντα”, ανέφερε ο Nazarovas. “Από την πρώτη στιγμή κατάλαβα πως αυτός ο φάκελος δεν έπρεπε σε καμία περίπτωση να είναι δημόσιος”, είπε.
Όπως επισημαίνει, οι φωτογραφίες δεν περιορίζονταν μόνο σε εικόνες από τα προφίλ, καθώς περιλάμβαναν και ιδιωτικές φωτογραφίες που είχαν σταλεί μέσω μηνυμάτων – ακόμη και υλικό που είχε αφαιρεθεί από τους διαχειριστές των εφαρμογών.
Αν και το περιεχόμενο των ιδιωτικών μηνυμάτων δεν βρέθηκε αποθηκευμένο με τον ίδιο τρόπο και οι εικόνες δεν έφεραν εμφανή ονόματα χρηστών ή πραγματικά στοιχεία, γεγονός που θα καθιστούσε ακόμα πιο περίπλοκες τις στοχευμένες επιθέσεις εναντίον χρηστών, η παραβίαση εξακολουθεί να προκαλεί ανησυχία.
Η εταιρεία επικοινώνησε με τον χάκερ και μεταξύ άλλων δήλωσε ότι είναι ευγνώμων για την αποκάλυψη του σφάλματος, ωστόσο δεν υπάρχει καμία εγγύηση ότι ο Nazarovas ήταν ο μόνος χάκερ που είδε το υλικό.
