L’app è concepita per consentire per esempio a un genitore di sapere quando il figlio arriva a scuola o a un figlio di sapere se il genitore è arrivato in ufficio o è tornato a casa: il suo intento sarebbe dare sicurezza e tranquillità alle famiglie che la usano, ma il risultato è stato esattamente contrario.
I dati degli utenti venivano infatti accumulati in un database MongoDB non protetto, ospitato maldestramente nel cloud e quindi facilmente reperibile con un motore di ricerca specializzato come Shodan, e venivano custoditi (si fa per dire) senza cifratura. Nel database c’erano non solo le coordinate geografiche ma anche le foto di profilo, il nome, l’indirizzo di mail e la password di ciascun utente.
In altre parole, nota Naked Security, chiunque accedesse a questo database poteva sapere che aspetto aveva “vostra figlia tredicenne, dove si trovava in tempo reale, il suo nome, il suo indirizzo di mail, il suo indirizzo di casa, l’indirizzo della sua scuola e il suo percorso da casa a scuola e viceversa”.
La falla è stata scoperta da Sanyam Jain della GDI Foundation. La società australiana che gestisce Family Locator non ha risposto alle prese di contatto e quindi il sito di notizie informatiche TechCrunch ha contattato Microsoft, che ospitava il database, ed è riuscito a farlo rendere irraggiungibile via Internet.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.