Una vulnerabilità in cinque risorse di dating ha esposto le foto personali di 1,5 milioni di utenti
I ricercatori hanno scoperto una grave vulnerabilità in cinque siti di incontri sviluppati da M.A.D Mobile, come i siti BDSM People e Chica, nonché le app LGBT Pink, Brish e Translove. A seguito della fuga di notizie, circa 1,5 milioni di foto personali degli utenti, comprese immagini esplicite, sono state rese disponibili online senza protezione di password. Tra i dati trapelati non c'erano solo le foto dei profili, ma anche le immagini inviate nei messaggi privati e quelle cancellate dai moderatori.
Ecco cosa sappiamo
L'hacker etico Aras Nazarovas di Cybernews è stato il primo a segnalare il problema, avendo scoperto la posizione dello storage online utilizzato dalle app. Nonostante l'avvertimento, M.A.D. Mobile non ha preso provvedimenti finché non è stata contattata dalla BBC. La vulnerabilità è stata risolta, ma non si sa per quanto tempo i dati siano stati di dominio pubblico e chi li abbia utilizzati.
Sebbene i messaggi di testo non siano stati colpiti, le foto trapelate rappresentano un rischio per gli utenti, soprattutto nei Paesi in cui l'omosessualità è illegale. I ricercatori sottolineano che la fuga di notizie potrebbe essere utilizzata per ricatti, ingegneria sociale e altre attività dannose. M.A.D Mobile ha ringraziato per aver individuato il problema, ma non ha fornito dettagli sulle ragioni della fuga di notizie.