Серьезная уязвимость в безопасности полдюжины популярных мобильных приложений потенциально привела к утечке личных и конфиденциальных данных миллионов онлайн-пользователей.
В конце декабря 2021 года исследователь Микаил Тунч обнаружил, что несколько мобильных приложений для Android и iOS неправильно настроили службы проверки личности. В частности, они не следовали рекомендациям поставщика услуг Onfido.
Вместо того, чтобы хранить токен API на сервере, они оставили его открытым на интерфейсе, что могло привести к утечке биометрических данных. Если бы кто-то обнаружил уязвимость до Тунча, он мог бы получить идентифицирующие личность данные, такие как документы, удостоверяющие личность, паспорта или водительские права, электронные письма, полные имена или физические адреса, подвергая пользователей потенциальному риску кражи личных данных. Кроме того, злоумышленник мог получить селфи-видео, для которых требуется множество служб проверки личности.
Миллионы потенциальных жертв
Предположительно, никто не нашел уязвимость до Тунча, а это означает, что данные пока остаются в безопасности, хотя так это или нет, еще неизвестно.
Эти токены обычно имеют срок действия в качестве дополнительной меры на случай непредвиденных обстоятельств. Однако у этих конкретных токенов не было срока годности, что делало угрозу еще более серьезной.
По сообщению CyberNews, которое первым опубликовало эту новость, затронутые приложения включают приложение FxPro Direct, торговую платформу с более чем пятью миллионами пользователей, Europcar, прокат автомобилей с более чем одним миллионом пользователей, Chip, приложение для сбережений с почти полумиллионом пользователей. пользователи, вы покупаете приложение Hoolah, криптовалютное приложение Mode и сервис каршеринга Greenwheels.
CyberNews спросил Onfido, отслеживает ли он, следуют ли его клиенты рекомендации не оставлять токен API в интерфейсе, и компания заявила, что предоставляет клиентам подробные технические консультации о том, как реализовать рабочий процесс Safe Onfido IDV.
«Как и в случае с другими компаниями в аналогичных областях, технически очень сложно определить, используется ли закрытый ключ ненадлежащим образом в таком широком диапазоне рабочих процессов, что затрудняет соблюдение требований», — сказал Онфидо, добавив, что их первоначальные расследования показали отсутствие признаков несанкционированного доступа к данным.
Все эти цифры взяты из Google Play Store. Магазин приложений Apple даже не раскрывает количество загрузок, но можно с уверенностью сказать, что эти цифры могут быть как минимум вдвое больше.
Тем, кто использовал какое-либо из перечисленных выше приложений и опасается атак злоумышленников, следует очень осторожно относиться к подозрительным сообщениям и запросам на вход от незнакомцев, укреплять свои пароли и по возможности добавлять двухфакторную аутентификацию.
Они также должны поддерживать свои устройства в актуальном состоянии, используя решение для кибербезопасности и брандмауэр, если это возможно.
- Вы также можете проверить наш список лучших VPN прямо сейчас.