Os apps rastreadores de integrantes da sua família podem ser muito úteis e melhorar a segurança de seus entes queridos, já que assim fica mais fácil saber onde estão os pequeninos e os cônjuges. Mas… e se essas informações forem parar em mãos erradas? Bem, isso pode ajudar criminosos a saber a localização dos usuários em tempo real.

De acordo com o pesquisador especializado em segurança Sanyam Jain, da GDI Foundation, a base de dados do app Family Locator, para iOS, deixou os dados de 238 mil contas abertos no back-end do MongoDB, disponível para qualquer um ver. Nenhum texto foi encriptado e foi fácil ler tudo como um arquivo comum de texto.

rastreadorFonte: Tech Crunch

Segundo sua análise, cada registro de conta continha nome de um usuário, endereço de email, foto do perfil e suas senhas escritas sem formatação. Era possível ver o histórico de local atualizado, tanto dos donos dos perfis quanto dos membros relacionados. Pessoas usando o “Geofence”, ferramenta de notificação para quando algum familiar entra em determinado perímetro, também tiveram seus status expostos, incluindo os pontos determinados como “casa” ou “trabalho”.

Usuários se surpreendem com vazamento e empresa não responde

O TechCrunch chegou a realizar dois testes para confirmar o vazamento. Primeiro, o site usou uma conta falsa para gerar localização em tempo real, e essas informações foram imediatamente para a base de dados a céu aberto. Depois, entrou em contato com um usuário do Family Locator na Flórida. A pessoa se mostrou surpresa ao saber que a localização de seu trabalho e de seu filho estavam precisamente corretas.

O site da empresa responsável, React Apps, não possui informações de contato, muito menos sua política de privacidade. A página possui um registro que mascara o endereço do proprietário, e as mensagens enviadas por meio do formulário de comentários não emitem nenhuma resposta. Nenhum desenvolvedor ou porta-voz deu explicação alguma sobre esse problema de segurança até agora.

Ainda não se sabe exatamente a razão dessa brecha e para o que foi usada. Mas, depois de ficar sabendo sobre o ocorrido, a Microsoft desativou a base de dados do app, que fica hospedada na nuvem Azure.

Cupons de desconto TecMundo: