Приложение Pray.com подвергает миллионы пользователей массовой утечке данных

Исследователи из vpnMentor опубликовали свои выводы после обнаружения серьезных недостатков в популярном религиозном приложении. Речь идет о приложении Pray.com, используемом членами христианской веры для молитвы и других религиозных мероприятий. Исследовательская группа под руководством Ноама Ротема и Рана Локара из vpnMentor обнаружила, что разработчики из Калифорнии неправильно настроили свои серверы AWS. В результате получается бэкдор, который позволяет получить доступ к 262 ГБ данных, содержащих личную информацию не менее 1 миллиона пользователей в Android, iOS и различных браузерных приложениях. В прошлом неправильные настройки AWS были причиной других утечек данных из других организаций.

Исследователи считают, что максимальное количество пользователей, подвергшихся воздействию, может исчисляться десятками миллионов. Некоторые данные, в том числе электронные письма, связанные с доменами.mil и.gov, могут иметь далеко идущие последствия. vpnMentor обнаружил проблему в рамках более крупного проекта веб-картографии. Исследователи обнаружили незащищенные серверы, сканируя порты определенных IP-блоков и проверяя их на наличие эксплойтов. При анализе Pray.com было обнаружено, что корзины S3 легко доступны из-за отсутствия шифрования и базовых методов безопасности.

Поскольку команда vpnMentor — белые хакеры, они немедленно решили исправить ситуацию, связавшись с Pray.com. То, что произошло дальше, свидетельствует о вопиющей небрежности со стороны компании-учредителя приложения:

После того, как наши первые две попытки связаться с Pray.com не дали ответа, мы связались с AWS напрямую, чтобы уведомить их. AWS подтвердили, что сообщили Pray.com о взломе несколько дней спустя, но не осталось никаких доказательств того, что компания пыталась решить проблему.

Через пять недель после нашей первой попытки связаться с Pray.com корзины оставались незащищенными, но файлы контактов были удалены. 17 ноября, после трех наших попыток связаться с Pray.com, мы наконец получили ответ от генерального директора Pray.com. В его электронном письме было одно слово: «Отписаться».

Как указывает vpnMentor в своем исследовательском посте, местонахождение штаб-квартиры Pray.com подвергает их конкретным судебным искам. В Калифорнии действуют строгие законы о конфиденциальности, в частности Закон штата Калифорния о конфиденциальности потребителей. Поскольку владельцы Pray.com продолжают отказываться от советов экспертов по кибербезопасности, они могут столкнуться с несколькими действиями, такими как проверки и штрафы.

Если вы являетесь пользователем услуг Pray.com, самое разумное, что вы можете сделать, — это найти другое приложение для практики своей веры, по крайней мере, до тех пор, пока оно не усилит свою безопасность. Лица, ответственные за это приложение, похоже, проявили халатность, не прислушавшись к предупреждениям экспертов по безопасности, действующих из лучших побуждений. Между тем, они могли подвергнуть своих пользователей краже личных данных или фишинговым атакам.