/nginx/o/2022/07/26/14719226t1h1286.png)
:format(webp)/nginx/o/2025/03/29/16745032t1ha5a8.jpg)
iOS iepazīšanās lietotnēs, kas paredzētas LGBTQ+, BDSM un “sugar daddy” kopienām, ir apdraudētas daudzu lietotāju fotogrāfijas. Tas attiecas arī uz attēliem no privātajām ziņām.
Datu noplūde: atklāti 1,5 miljoni privātu fotoattēlu no LGBTQ+ iepazīšanās lietotnēm (21)
Jauns privātuma murgs iepazīšanās lietotņu lietotājiem: vairākās iOS lietotnēs, kas tiek izplatītas Apple Store veikalā un ir paredzētas LGBTQ+ kopienai, kā arī “Sugar Dating” un BDSM cienītājiem, ir masveidā noplūdis ļoti sensitīvs saturs. Kopumā kompromitēti gandrīz 1,5 miljoni privāto lietotāju fotoattēlu no BDSM People, Chica, Translove, Pink un Brish lietotnēm, ziņo Lietuvas portāla Cybernews pētnieku komanda. Tajās bija iekļauti atklāti attēli, kurus lietotāji bija nosūtījuši viens otram privātās ziņās. Tas pakļauj cietušos, kuri ir atkarīgi no paaugstinātas privātuma aizsardzības, paaugstinātam, piemēram, naidīguma riskam.
Saskaņā ar ziņojumu lietojumprogrammu izstrādātājs, uzņēmums M.A.D. Mobile Apps Developers, kopā ar lietojumprogrammu pirmkodu publiskoja informāciju, kas bija jāglabā slepenībā, piemēram, lietojumprogrammu programmēšanas saskarņu (API) atslēgas, paroles vai šifrēšanas atslēgas. Tas ir bīstami, jo klientu lietojumprogrammās saglabātā pieteikšanās informācija ir pieejama ikvienam. Uzbrucēji var viegli ļaunprātīgi izmantot tās, lai iegūtu piekļuvi sistēmām. Šajā gadījumā, kā ziņo Cybernews, daži no noplūdušajiem noslēpumiem piešķīra piekļuvi lietotāju fotoattēliem, kas glabājas Google mākoņa krātuvēs. Šīm krātuvēm bija iespējams piekļūt bez paroles aizsardzības.
Saskaņā ar komandas sniegto informāciju publiski apskatāmie attēli ietvēra ne tikai tiešos ziņojumus, bet arī profila fotoattēlus, publiskos ziņojumus, profila verifikācijas attēlus un noteikumu pārkāpumu dēļ noņemtos attēlus. Tikai lietotnē BDSM People vien esot bijuši redzami 541 000 privāti attēli, tostarp 90 000 no ziņojumiem, ko lietotāji sūtījuši viens otram. Tiek apgalvots, ka aplikācijā “sugar daddy” Chica ir noplūduši 133 000 attēlu, daļēji arī no privātiem čatiem. Pētnieki norāda, ka trīs citas LGBTQ+ iepazīšanās lietotnes ar tādu pašu arhitektūru atklāja vairāk nekā 1,1 miljonu attēlu. M.A.D. vēl nav atbildējusi uz lūgumu sniegt komentārus. Šo lietotņu lejupielādes skaitļi ir no desmitiem tūkstošu līdz simtiem tūkstošu.
M.A.D. nav atsevišķs gadījums
Autori norāda, ka ļaundari bieži izmanto ļoti sensitīvu noplūdušu saturu šantāžai, sociālajai inženierijai un mēģinājumiem kaitēt personas profesionālajai reputācijai. Turklāt skartās personas var tikt pakļautas paaugstinātam uzmākšanās riskam. Tā kā dažās valstīs homoseksualitāte ir nelikumīga, lietotņu lietotāju vajāšanas risks ir vislielākais tieši tur. Nodevīgajās atmiņas krātuvēs nav ietverti nekādi konkrēti identitātes dati, piemēram, lietotāja vārdi, e-pasti vai ziņojumi. Tomēr ļaundari varētu izmantot tādas publiski pieejamas metodes kā reversā attēlu meklēšana ar biometrisko sejas atpazīšanu, lai atrastu cilvēkus, kas redzami fotogrāfijās.
Pētnieki atklāja noplūdi pēc plaša mēroga izmeklēšanas. Komanda lejupielādēja 156 000 iOS lietotņu – aptuveni 8% no visām Apple Store veikalā pieejamajām lietotnēm. Viņi atklāja, ka izstrādātāji bieži vien avota kodā atstāj grūti kodētu pieteikšanās informāciju, kas ir pieejama ikvienam: 71 procents analizēto lietotņu atklāja “vismaz vienu noslēpumu”, un vidēji vienas lietotnes kods atklāja 5,2 šādus “noslēpumus”. Stiftung Warentest jau pirms kāda laika kritizēja tādu iepazīšanās lietotņu kā Tinder, Lovoo, Parship, Lesarion un Grindr bieži vien nepietiekamo datu aizsardzību. Pēdējās minētās platformas operatoram Norvēģijā tika piemērots miljoniem liels naudas sods par personas informācijas nodošanu trešajām personām mērķtiecīgas reklāmas nolūkos.