Популярные фитнес-приложения сливают данные даже из приватных зон

Популярные фитнес-приложения сливают данные даже из приватных зон

Популярные фитнес-приложения сливают данные даже из приватных зон

Специалисты выяснили, что ряд фитнес-приложений вроде Strava сливает конфиденциальные данные пользователей даже в том случае, когда те настроили специальные «приватные зоны». Такие зоны позволяют скрывать активность при нахождении в определённых локациях.

На проблему указали два аспиранта Лёвенского католического университета. По их словам, если пользователь начинают отслеживать свою фитнес-активность из дома, даже малоквалифицированный злоумышленник может использовать метаданные API для точного определения геолокации цели.

Эти метаданные можно найти как раз в приложениях, разработанных для ведущих активный образ жизни людей. Что интересно: извлекать данные можно даже в том случае, если пользователь настроил так называемые «зоны конфиденциальности».

Более того, после обращения специалистов вуза к разработчикам проблемных приложений последние не смогли полностью устранить брешь. Эксперты планируют представить свой отчёт на конференции Black Hat Asia.

«В метаданных мы наши значение расстояния всего трека, включая так называемые частные зоны, которые, по идее, должны быть скрыты. Таким образом, пройденное расстояние внутри такой частной зоны может просочиться и попасть в руки злоумышленников», — отмечают исследователи.

Такую атаку достаточно легко провести. Фактически любой, у кого есть обычный инструмент разработчика, может изучить API и вытащить оттуда все необходимые данные. При этом не потребуется подделывать вызовы API или изменять способы взаимодействия с приложением Strava.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вишинг-атака помогла похитить данные клиентов Cisco

Как сообщила Cisco, злоумышленник смог обманом получить доступ к данным пользователей Cisco.com. Всё произошло после фишингового звонка (так называемый «вишинг» — когда атакуют через голосовую связь), во время которого киберпреступник притворился сотрудником и убедил представителя Cisco выдать ему доступ.

Инцидент обнаружили 24 июля. Киберпреступник получил и выгрузил часть данных из облачной CRM-системы, с которой Cisco работает через стороннего подрядчика.

Утекла базовая информация о клиентах: имена, названия компаний, адреса, имейлы, телефоны, ID пользователей, а также технические детали вроде даты создания аккаунта.

Сколько всего пользователей пострадало — в Cisco не говорят. Представитель компании отказался уточнить масштабы утечки.

Судя по всему, это не первый случай взлома через такие CRM-платформы. Ранее сообщалось о похожих инцидентах у Allianz Life, Tiffany & Co., Qantas и других компаний, данные которых хранились в системах Salesforce. Известно, что Cisco тоже является клиентом Salesforce.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru