Il servizio di monitoraggio parentale TeenSafe espone migliaia di password di bambini

Un servizio progettato per aiutare i genitori a monitorare l’attività internet dei loro figli su dispositivi iPhone e Android ha esposto migliaia di password degli utenti, riporta ZDNet. Il servizio, TeenSafe, si propone di essere un’app di monitoraggio “sicura” sia per iOS che per Android, progettata per consentire ai genitori di visualizzare le conversazioni di messaggi di testo dei loro figli, monitorare chi stanno chiamando, accedere alla loro posizione e alla cronologia di navigazione web, e altro ancora. Tuttavia, sembra che per i dispositivi iOS il servizio si basi sui genitori che forniscono le password dell’Apple ID dei loro figli, che vengono memorizzate sui server dell’azienda, possibilmente per accedere ai dati di iCloud.

Tuttavia, un ricercatore di sicurezza con sede nel Regno Unito, Robert Wiggins, ha scoperto la scorsa settimana che TeenSafe aveva effettivamente lasciato uno o più dei suoi server non protetti e accessibili da chiunque senza nemmeno un requisito di password. ZDNet ha avvisato l’azienda, che ha messo offline i server interessati, con un portavoce di TeenSafe che ha dichiarato: “Abbiamo preso provvedimenti per chiudere uno dei nostri server al pubblico e abbiamo iniziato ad avvisare i clienti che potrebbero essere potenzialmente colpiti.” I server in questione memorizzavano database che contenevano gli indirizzi e-mail dei genitori insieme all’Apple ID corrispondente del loro bambino, nome del dispositivo e password in chiaro. Sebbene nessuno dei record contenesse dati personali come foto, messaggi o posizioni, la password dell’Apple ID sarebbe sufficiente per consentire a qualcuno di accedere ai dati personali dell’account iCloud del bambino e ai backup di iCloud; TeenSafe richiede notevolmente che l’autenticazione a due fattori sia disabilitata per utilizzare il servizio.

ZDNet osserva che prima che il server fosse messo offline, conteneva almeno 10.200 record di dati dei clienti degli ultimi tre mesi, sebbene aggiunga che alcuni fossero duplicati. ZDNet ha contattato un campione di una dozzina di genitori i cui indirizzi e-mail erano inclusi nei dati trapelati e ha confermato che le informazioni - incluso l’indirizzo e-mail del loro bambino - erano almeno recentemente, se non attualmente, accurate. TeenSafe afferma di avere oltre un milione di genitori che utilizzano il servizio, e non si sa se esistano altri server esposti che potrebbero aver contenuto dati aggiuntivi, né perché i dati sensibili siano stati memorizzati in chiaro.