ZDNet сообщает, что сервер, используемый приложением для мониторинга активности подростков на телефонах, допустил утечку десятков тысяч учетных данных, включая Apple ID детей.
Утекшие данные принадлежали клиентам TeenSafe – «защищенного» приложения для мониторинга на iOS и Android, которое позволяет родителям просматривать текстовые сообщения и местоположение ребенка, историю звонков, историю просмотров веб-сайтов и установленные приложения.
База данных клиентов хранилась на двух серверах, размещенных на Amazon Web Services, где она оставалась незащищенной и доступной без пароля. Об этом обнаружил британский исследователь безопасности, специализирующийся на общедоступных и раскрытых данных. Серверы были отключены только после того, как ZDNet уведомила калифорнийскую компанию, ответственную за приложение TeenSafe.
«Мы приняли меры для закрытия одного из наших серверов для общественности и начали уведомлять клиентов, которые потенциально могли пострадать», — заявил в воскресенье представитель TeenSafe изданию ZDNet.
Среди информации в раскрытой базе данных были адреса электронной почты родителей, использующих TeenSafe, адреса электронной почты Apple ID их детей, а также названия устройств и уникальные идентификаторы детей. Также среди данных оказались пароли в открытом виде для Apple ID детей, несмотря на заявления на веб-сайте компании об использовании шифрования для защиты данных клиентов.
Усугубляет слабую безопасность тот факт, что приложение требует отключения двухфакторной аутентификации для учетной записи Apple ребенка, чтобы родители могли отслеживать телефон без его согласия. Это означает, что злоумышленник потенциально мог получить доступ к учетной записи ребенка, используя учетные данные, хранящиеся на раскрытом сервере.
TeenSafe насчитывает более миллиона родителей в качестве клиентов, хотя база данных, по сообщениям, ограничивалась 10 200 записями, полученными за последние три месяца использования сервиса. Компания заявила, что продолжит оценивать ситуацию и предоставит клиентам дополнительную информацию, как только она станет доступна.
