В течение целого года личные сообщения, точные местоположения и другие личные данные тысяч детей из России стали доступны потенциальным преступникам из-за ошибки, совершенной разработчиками приложения для контроля родительских действий KidSecurity, сообщили исследователи Cybernews.
Ошибка заключалась в неправильной настройке аутентификации для кластера Kafka Broker, что привело к утечке конфиденциальных данных, собранных с телефонов несовершеннолетних. Эти данные оставались доступными для всех, в том числе преступников, в течение более года.
Среди утечек содержались личные сообщения, отправленные детьми в социальных сетях и мессенджерах, таких как WhatsApp, Telegram, Instagram (запрещенная в России социальная сеть, принадлежащая Meta Corporation и признанная экстремистской) и другие платформы, а также информация о точных местоположениях устройств. Открытые данные также включали адреса электронной почты родителей, IP-адреса и информацию о приложениях, установленных на смартфонах.
Преступники также могли использовать функцию «Звук вокруг», которая позволяла родителям прослушивать окружающее пространство своих детей.
Аналитики Cybernews подключились к этому потоку данных в исследовательских целях и за один час наблюдения получили 456 000 личных сообщений, отправленных детьми в социальных сетях, а также данные о использовании с 11 000 устройств, обнаружив еще 100 гигабайт подобных данных.