Переписки в социальных сетях, точное местоположение и другие персональные данные тысяч российских детей оказались доступны потенциальным злоумышленникам на протяжении целого года из-за ошибки создателей приложения для родительского контроля KidSecurity.
«Разработчикам не удалось настроить аутентификацию для своего кластера Kafka Broker, что привело к утечке большого количества конфиденциальных данных, собранных с телефонов несовершеннолетних. Они были доступны всем, включая преступников, более года», — отмечают аналитики Cybernews.
Среди незащищённых данных оказались сообщения несовершеннолетних в социальных сетях и мессенджерах, включая WhatsApp, Telegram, Instagram (соцсеть запрещена в РФ; принадлежит корпорации Meta, которая признана в России экстремистской и запрещена) и других соцсетях, а также данные о точном местоположении устройств.
Кроме того, в открытом доступе оставались адреса электронной почты родителей, IP-адреса, сведения об установленных на смартфонах приложениях и многие другие данные. Злоумышленники также могли использовать функцию «Звук вокруг», позволяющая родителям слушать, что происходит вокруг их детей, и прослушивать такие записи.
Аналитики Cybernews с исследовательскими целями подключились к этому онлайн-потоку данных. Всего за час наблюдения они получили 456 тысяч чужих личных сообщений, отправленных детьми в социальных сетях, а также статистику использования приложений с 11 тысяч устройств. Больше всего пострадали от утечки дети из России, стран Восточной Европы и Ближнего Востока.