Flere niche-datingapps har opbevaret næsten 1,5 millioner private billeder online, hvor enhver kunne tilgå dem helt uden kodeord. Sårbarheden efterlod brugernes billeder – herunder mange eksplicitte fotos – frit tilgængelige for hackere, viser en ny undersøgelse.
Billederne stammer fra fem platforme udviklet af virksomheden M.A.D Mobile: BDSM People, Chica, Pink, Brish og Translove. Tjenesterne anvendes af mellem 800.000 og 900.000 personer verden over.
M.A.D Mobile fik allerede besked om sikkerhedsbristen d. 20. januar, men reagerede først efter BBC henvendte sig sidste fredag. Virksomheden har nu lukket sikkerhedshullet, men har endnu ikke forklaret, hvordan fejlen opstod, eller hvorfor de ikke sikrede billederne bedre fra start.
Den etiske hacker Aras Nazarovas fra Cybernews opdagede problemet, da han analyserede koden bag tjenesterne.
"Den første app, jeg undersøgte, var BDSM People, og det første billede i mappen var en nøgen mand i trediverne. Da jeg så billedet, vidste jeg straks, at denne mappe aldrig skulle have været offentlig," siger Nazarovas til BBC.
Ifølge Nazarovas inkluderede billederne ikke blot profilfotos, men også privat sendte billeder, herunder flere som moderatorer allerede havde fjernet.
Betydelig risiko for brugere
Den manglende beskyttelse medfører store risici for brugerne. Ondsindede hackere kunne have udnyttet billederne til afpresning, og situationen er især bekymrende for LGBT-personer, som bor i lande, hvor seksualitet og kønsidentitet forfølges.
Billederne var hverken koblet til brugernavne eller virkelige navne, og beskeder var ikke lagret samme sted, hvilket dog gør målrettede angreb vanskeligere at gennemføre.
"Vi værdsætter forskernes arbejde og har allerede taget de nødvendige skridt til at løse problemet. En yderligere opdatering vil blive frigivet på App Store indenfor få dage," oplyser en talsperson fra M.A.D Mobile i en e-mail.
Dog er der ingen garanti for, at Nazarovas var den eneste, der fandt frem til de åbne mapper.
Normalt offentliggør sikkerhedsforskere først sådanne fund, når hullerne er lukket, men Nazarovas og hans team valgte at advare offentligt allerede torsdag, fordi firmaet ikke reagerede.
Øget bekymring i Trumps værdikrig
Problemet forværres yderligere af, at Donald Trump kører værdikrig i USA, hvor opslag på sociale medier tidligere har kostet forskere indrejsetilladelse. Samtidig har den franske ambassade sendt breve til virksomheder med krav om, at de overholder Diversity, Equity, and Inclusion-lovgivningen (DEI).
Derfor kan denne sikkerhedsskandale potentielt få konsekvenser for brugere, som af politiske årsager er uønsket i USA.
En lignende sag fandt sted i 2015, hvor hackere stjal personlige data fra Ashley Madison, en datingside for gifte, der søgte affærer.
