Z aplikacji dla swingersów wyciekły ich dane

Aplikacja 3Fun, stworzona w Hongkongu, ale popularna w wielu krajach, m.in. USA, powstała w 2016 roku i reklamowała się, jako „prywatne miejsce”, gdzie otwarci, nieco szaleni ludzie mogli spotkać innych, podobnych sobie ludzi na intymne spotkania we troje, albo i więcej osób. Wszystko miało być dyskretne i bezpieczne. Okazało się, że nie było.

CZYTAJ TAKŻE: AI wykryje oszustów na aplikacji randkowej. Kim są?

Ken Munro, założyciel Pen Test Partners – firmy zajmującej się cyberbezpieczeństwem, odkrył, że aplikacja ma „najgorszy poziom zabezpieczeń” ze wszystkich aplikacji randkowych, jakie kiedykolwiek testował – informuje portal TechCrunch.

Testerzy z Pen Test Partners odkryli, że z aplikacji niezwykle łatwo wyciągnąć informacje o dokładnym miejscu przebywania użytkowników 3Fun, a także ich zdjęcia oraz inne osobiste informacje. Wystarczy być w ich pobliżu.

CZYTAJ TAKŻE: Apple i Google Play usuwają niebezpieczne aplikacje randkowe ukraińskiej firmy

Aplikacja jest na tyle słabo zabezpieczona, że osoby postronne mogą podać dowolne, fałszywe współrzędne, chcąc sfałszować swoją lokalizację i w ten sposób uzyskać poufne informacje na temat dowolnej osoby w dowolnie wybranym przez siebie miejscu, w tym budynkach rządowych, bazach wojskowych, a nawet agencjach wywiadowczych.

„TechCrunch” informuje, że przeprowadził ten sam test bezpieczeństwa, co Pen Test Partners I udało mu sie potwierdzić wszystkie zarzuty firmy. Aplikacja 3Fun nie jest bezpieczna, a za pomocą manipulowania geolokalizacją można udawać, ze jest się w dowolnie wybranym miejscu, np. w Białym Domu w Waszyngtonie, albo głównej siedzibie CIA w Langley w stanie Wirginia.

Analitykom udało się też zdobyć takie dane jak preferencje seksualne – w tym orientację – użytkowników aplikacji oraz ich preferencje, co do potencjalnych partnerów, a także takie dane jak wiek, pseudonimy – ich oraz ich partnerów, a także biografie ze szczegółowymi opisami bardzo osobistych przeżyć konkretnych użytkowników oraz zdjęcia dołączone do profili. W niektórych przypadkach uzyskali też dostęp do dat urodzin użytkowników.

Ani Pen Test Partners, ani TechCrunch nie odszyfrowały danych i nie powiązały ich z konkretnymi osobami. Włamanie do aplikacji nie miało być próbą wydobycia danych, ale pokazaniem jak kiepsko aplikacja była zabezpieczona, wbrew temu, co sama o sobie informuje.

Właściciele aplikacji zostali poinformowani o ich mankamentach i zajęli się łataniem dziur, co zajęło im kilka tygodni. 3Fun nie chciało odpowiadać na żadne pytania TechCrunch w sprawie wycieku danych.

3Fun to nie pierwsza aplikacja randkowa, która źle chroniła dane swoich użytkowników. Dziura w systemie pozwoliła w zeszłym miesiącu na wyciek danych 200 tys. użytkowników z aplikacji JCrush – przeznaczonej dla żydowskich singli, chcących poznać osoby podobnego pochodzenia i wyznania. W zeszłym roku z aplikacji Donald Daters – przeznaczonej dla osób o konserwatywnych poglądach, wyciekły dane wszystkich użytkowników, na szczęście było ich tylko 1600. Podobne problemy miała aplikacja Coffee Meets Bagel, do której włamano się – nomen omen – w Walentynki zeszłego roku.