Тесты цифровой техники

Бегет

Бум мобильных приложений: как компании адаптируются к новой реальности

09.04.2024
OS Day 2024: «Архитектурные аспекты безопасности операционных систем»

22.05.2024
Национальная бизнес-премия и конференция WOWBIZ за достижения в различных функциях бизнеса: управление финансами, PR и маркетинг, производство, логистика, IT

08.06.2024
South HUB – конференция в формате кэмпа для C-level в ИТ

18.09.2024
10-я конференция по нагрузочному тестированию


	18.04.2024 В России на 30% вырос спрос на ИБ-специалистов, умеющих работать с искусственным интеллектом В России провели исследование рынка труда в сфере информационной безопасности. Аналитики выяснили, что спрос на ИБ-специалистов, имеющих навыки работы...... 09.04.2024 Яндекс представил Карты с персональными рекомендациями Яндекс разработал новую технологию персональных рекомендаций. Она умеет подбирать места в городе для пользователей на основе их истории построения мар...... Переход на NNIT.ru


	18.04.2024 В России на 30% вырос спрос на ИБ-специалистов, умеющих работать с искусственным интеллектом В России провели исследование рынка труда в сфере информационной безопасности. Аналитики выяснили, что спрос на ИБ-специалистов, имеющих навыки работы...... 09.04.2024 Семейный бум: «Ростелеком» зафиксировал значительный рост подключений к пакетным предложениям цифровых услуг и мобильной связи «Ростелеком» отмечает увеличение популярности пакетных тарифов. Количество пользователей, которые объединили цифровые услуги и сотовую связь в один па...... 09.04.2024 Яндекс представил Карты с персональными рекомендациями Яндекс разработал новую технологию персональных рекомендаций. Она умеет подбирать места в городе для пользователей на основе их истории построения мар...... Переход на MSKIT.ru

Новости на NNIT Новости на MSKIT

Личные данные пользователей более чем 2000 приложений оказались в открытом доступе

17.03.2022 13:52
версия для печати

Команда Check Point Research (CPR) выяснила, что на данный момент в открытом доступе находятся незащищенные конфиденциальные данные пользователей целого ряда мобильных приложений. Речь идет в том числе о приложениях, находящихся на топ-позициях по популярности и насчитывающих миллионы закачек. При этом конфиденциальные данные пользователей доступны не только хакерам, а любому желающему через браузер.

Как отмечают эксперты Check Point Research, находка связана с бесплатным инструментом для сканирования документов и ссылок на вредоносное ПО VirusTotal. В нем обнаружены 2113 мобильных приложений, базы данных которых не были защищены в облаке. Это популярные приложения, количество загрузок этих приложений находится в диапазоне от десяти тысяч до десяти миллионов. Три месяца наблюдений показали, что данные пользователей этих приложений неоднократно подвергались риску.

Потеря таких данных может быть критична для пользователей: речь идет о фотографиях самих пользователей и их близких, идентификационных токенах из приложений для заботы о здоровье, данных платформ для обмена криптовалюты и т.д.

К примеру, одно из популярных (порядка 10 млн загрузок) приложений для создания логотипов и графического дизайна оставило в открытом доступе более 130 тысяч учетных данных, в том числе имена пользователей, адреса их электронной почты и пароли.

Также были раскрыты банковские реквизиты, геолокация, номера телефонов, личные сообщения, история покупок пользователей платформы для прослушивания подкастов и другого аудиоконтента, количество загрузок которой превышает 5 млн загрузок.

Бухгалтерское приложение для SMB более чем с миллионом загрузок потеряло более 280 тысяч телефонных номеров, связанных как минимум с 80 тысячами названий предприятий. Также в открытом доступе оказались адреса, информация об остатке на банковском счете и запасе наличных в кассе, счета-фактуры и адреса электронной почты этих компаний.

«В этом исследовании мы показываем, как легко можно найти наборы данных и критически важные ресурсы, которые открыты в облаке для любого, кто может получить к ним доступ через браузер, — поясняет Лотем Финкельстин, руководитель отдела анализа угроз Check Point Software Technologies. — Мы описываем, как можно это сделать. Метод предполагает поиск в публичных файловых репозиториях (таких как VirusTotal), мобильных приложений, использующих облачные сервисы. Так, хакер может запросить в VirusTotal полный путь к облачному бэкенду мобильного приложения. Мы приводим несколько примеров, которые смогли найти там сами — все, что мы нашли, доступно любому желающему. Наше исследование доказывает, насколько легко может произойти утечка или эксплуатация данных. Объем конфиденциальной информации, который находятся в открытом доступе и доступен в облаке любому человеку, просто невероятный. И взломать облако гораздо проще, чем мы думаем».

Автор: Алена Журавлева (info@nnit.ru)

Рубрики: ПО, Web, Безопасность

наверх