Сервис родительского мониторинга TeenSafe утечка тысяч паролей детей

Сервис, предназначенный для помощи родителям в мониторинге интернет-активности их детей на устройствах iPhone и Android, утек тысячи паролей пользователей, сообщает ZDNet. Сервис TeenSafe претендует на то, чтобы быть “безопасным” приложением для мониторинга как для iOS, так и для Android, предназначенным для того, чтобы позволить родителям просматривать текстовые сообщения своих детей, контролировать, кому они звонят, получать доступ к их местоположению и истории веб-серфинга и многое другое. Однако, похоже, что для устройств iOS сервис полагается на то, что родители предоставляют пароли Apple ID своих детей, которые хранятся на серверах компании, возможно, для доступа к данным iCloud.

Тем не менее, исследователь безопасности из Великобритании, Роберт Уиггинс, обнаружил на прошлой неделе, что TeenSafe на самом деле оставил один или несколько своих серверов незащищенными и доступными для любого без требования пароля. ZDNet уведомил компанию, которая отключила затронутые серверы, представитель TeenSafe заявил: “Мы предприняли меры, чтобы закрыть один из наших серверов для публики и начали уведомлять клиентов, которые могут быть потенциально затронуты.” Затронутые серверы хранили базы данных, содержащие адреса электронной почты родителей вместе с соответствующими Apple ID их детей, именами устройств и паролями в открытом виде. Хотя ни одна из записей не содержала личных данных, таких как фотографии, сообщения или местоположения, пароль Apple ID был бы достаточен, чтобы позволить кому-то получить доступ к личным данным из учетной записи iCloud ребенка и резервным копиям iCloud; TeenSafe, как известно, требует отключения двухфакторной аутентификации для использования сервиса.

ZDNet отмечает, что до отключения сервера он содержал как минимум 10,200 записей данных клиентов за последние три месяца, хотя добавляет, что некоторые из них были дубликатами. ZDNet связался с выборкой из дюжины родителей, чьи адреса электронной почты были включены в утекшие данные, и подтвердил, что информация — включая адрес электронной почты их ребенка — была по крайней мере недавно, если не в настоящее время, точной. TeenSafe утверждает, что у него более миллиона родителей, использующих сервис, и неизвестно, существуют ли другие открытые серверы, которые могли содержать дополнительные данные, или почему чувствительные данные хранились в открытом виде.