Сервис KidSecurity сливает чаты и ПДн, собранные с детских телефонов

Татьяна Никитина 05 Апреля 2024 - 19:19

Домашние пользователи

Android

Утечки информации

Случайные утечки

Случайное разглашение данных

...

Сервис KidSecurity сливает чаты и ПДн, собранные с детских телефонов

Разработчики приложения KidSecurity (> 1 млн загрузок c Google Play) плохо оберегают свои серверы. Команда исследователей из Cybernews уже второй раз находит в открытом доступе большой массив конфиденциальных данных.

В прошлом году выяснилось, что из-за отсутствия защиты с серверов Elasticsearch и Logstash казахского вендора KidSecurity можно без труда получить номера телефонов, имейл и платежную информацию клиентов — суммарно свыше 300 млн записей. Как оказалось, кластер брокеров Kafka, используемый программой родительского контроля, тоже протекает, притом уже больше года.

Через эти серверы в реальном времени проходят большие объемы информации (с детских телефонов на гаджеты родителей). В минувшем феврале в кешах было суммарно обнаружено более 100 Гбайт данных; за 1 час наблюдений брокеры получили 456 тыс. личных сообщений, отправленных из приложений соцсетей, и статистику по использованию программ, установленных на 11 тыс. телефонов.

Разбор кешированных данных показал, что брокеры Kafka сливают следующую информацию:

сообщения детей в Instagram (признана экстремистской и запрещена в России), WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России), Telegram, Viber, ВКонтакте, в том числе в групповых чатах (можно узнать, например, номер школы и класс);
имейл-адреса родителей;
IP-адреса;
сведения из аккаунтов в магазинах приложений (страна, валюта оплаты, дата оформления и срок действия подписки);
списки установленных приложений, статистика использования;
полученные ребенком награды (спорт, помощь по дому и т. п.);
фоновые аудиозаписи с микрофона;
IMEI;
местоположение;
уровень заряда батареи.

Утечка затронула несовершеннолетних пользователей и их друзей по переписке из разных регионов, большинство проживают в России, странах Восточной Европы и на Ближнем Востоке. Доступ к Kafka-кластеру был защищен лишь после уведомления от исследователей.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Апреля 2026 - 16:09

Windows Домашние пользователи Google

В Google Chrome усложнили кражу cookie — новая защита от угона сессий

Google перевела функцию Device Bound Session Credentials (DBSC) в общую доступность для пользователей Chrome на Windows. Теперь эта защита работает в Chrome 146 и должна заметно осложнить жизнь тем, кто крадёт сессионные cookies, чтобы потом входить в чужие аккаунты без пароля.

Принцип работы DBSC кроется в том, что браузер не просто хранит cookie, а криптографически привязывает сессию к конкретному устройству.

Даже если зловред украдёт cookie из браузера, использовать их на другой машине будет уже гораздо труднее — по сути, они быстро потеряют ценность для атакующего.

Особенно актуально это на фоне популярности так называемых инфостилеров. Такие вредоносные программы собирают с заражённых устройств всё подряд: пароли, данные автозаполнения, токены и, конечно, cookie. Этого бывает достаточно, чтобы злоумышленник зашёл в учётную запись жертвы, даже не зная её пароль. Потом такие данные нередко перепродают другим участникам киберпреступного рынка.

DBSC должна ломать именно такой сценарий. На Windows технология опирается на Trusted Platform Module, а на macOS — на Secure Enclave. С их помощью создаётся уникальная пара ключей, причём закрытый ключ не покидает устройство. Когда сайту нужно выдать новую короткоживущую cookie, Chrome должен доказать, что у него есть нужный закрытый ключ. Если ключ не на том устройстве, схема просто не срабатывает.

При этом Google подчёркивает, что технология задумана с упором на конфиденциальность. По данным компании, DBSC не должна превращаться в новый механизм слежки: сайт получает только тот минимум данных, который нужен для подтверждения владения ключом, без передачи постоянных идентификаторов устройства или дополнительных данных аттестации.

Есть и важная оговорка: если устройство не поддерживает безопасное хранение ключей, Chrome не ломает аутентификацию и просто откатывается к обычной схеме работы. То есть пользователи не должны столкнуться с внезапными сбоями входа только потому, что их железо не подходит под новую модель защиты.

Пока публичный запуск ограничен Windows-пользователями Chrome 146, но Google уже подтвердила, что поддержку macOS добавят в одном из следующих релизов. Компания также заявила, что после начала внедрения DBSC уже заметила заметное снижение случаев кражи сессий.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!