Данные пользователей сервиса для мониторинга TeenSafe утекли в Сеть

Данные пользователей сервиса для мониторинга TeenSafe утекли в Сеть

Как минимум один сервер, используемый приложением для отслеживания активности смартфонов подростков, допустил утечку. В результате десятки тысяч учетных записей, как родителей, так и их детей, просочились в Сеть.

Мобильное приложение TeenSafe позиционирует себя как «безопасное» средство для мониторинга систем iOS и Android. TeenSafe позволяет родителям просматривать текстовые сообщения и отслеживать местоположение своего ребенка, также приложение поможет контролировать звонки, историю просмотра веб-страниц и узнать, какие приложения установил подросток.

Однако компания умудрилась оставить свои серверы, которые были размещены в облаке Amazon, незапароленными — любой мог получить к ним доступ. Об этом сообщил британский исследователь в области безопасности Роберт Виггинс.

Виггинсу удалось обнаружить два проблемных сервера, которые были закрыты после того, как эксперт связался с представителями TeenSafe.

«Мы приняли меры, обезопасив наши сервера. Также мы предупредили всех потенциально затронутых пользователей», — утверждают в TeenSafe.

В базе данных, ранее доступной для всех желающих, можно было найти адрес электронной почты родителей, пользующихся TeenSafe, а также Apple ID ребенка, активность которого отслеживается. Более того, имя устройства, его уникальный идентификатор, пароли в простом текстовом виде — все это также было скомпрометировано.

Положительным моментов является тот факт, что ни одной фотографии, как и данных о местоположении, в базе обнаружено не было. Как заверяют в TeenSafe, более миллиона родителей используют возможности этого приложения.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Twitter наконец исправил проблему двухфакторной аутентификации

Twitter прислушался к пользователям и наконец устранил серьёзную брешь в системе двухфакторной аутентификации (2FA). Теперь социальная платформа позволяет людям удалить свой номер телефона из настроек верификации.

Twitter давно внедрил дополнительный уровень защиты аккаунтов, благодаря которому пользователи могут получать короткие коды для подтверждения аутентификации в SMS-сообщениях.

Проблема в том, что такой метод 2FA нельзя считать полностью безопасным. Если за дело возьмётся грамотный киберпреступник, он сможет перехватить коды подтверждения.

Именно поэтому специалисты в области кибербезопасности рекомендуют использовать двухфакторную аутентификацию на основе приложений вроде Google Authenticator. В противном случае вы рискуете стать жертвой атаки «подмена SIM-карты» (SIM swapping).

Причина, по которой Twitter подвергался критике за свой метод 2FA, заключалась в навязывании использования SMS-сообщений, даже когда пользователь задействовал стороннее приложение для аутентификации.

Социальная сеть никогда толком не комментировала причину такого решения, хотя многие эксперты задавали соответствующие вопросы.

Однако теперь площадка поменяла правила — люди могут использовать двухфакторную аутентификацию без необходимости вводить телефонный номер.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru