2019/03/25

App de localização de famílias expunha a sua localização publicamente na net


A descoberta de informação na internet que devia ser mantida do olhar do público já se tornou um caso recorrente, e desta vez acontece com um serviço de localização de famílias.

A app Family Locator permite partilhar a localização de familiares e amigos, permitindo aos pais saberem por onde os filhos andam (e vice-versa), assim como definir alertas casos quando entram ou saem de determinadas áreas - útil para criar alertas de quando se chega / sai do local de trabalho, escola, etc. Infelizmente, era informação que não só estava a ser utilizada para os respectivos utilizadores, como também para todo o mundo que se dignasse a procurá-la na internet.

A base de dados do serviço estava exposta na internet, permitindo que qualquer pessoa pudesse ter acesso a estes dados. Pior ainda, como se saber a localização em tempo real destas pessoas não fosse já suficiente mau, este serviço guardava também a password dos utilizadores em texto não encriptado (plain-text), o que se pode considerar a "cereja no topo de bolo". E seguramente não ajudará que, mesmo após inúmeras tentativas de contacto, por múltiplos meios, ninguém da empresa tenha dado qualquer resposta ou feita qualquer alteração (a base de dados ficou finalmente inacessível depois de uma queixa à MS, já que estava alojada na sua cloud Azure.)

Quando até o Facebook é apanhado a guardar milhões de passwords em plain-text, fica confirmado que a única certeza é que nada nem ninguém está livre de tais embaraços, por mais básicos que sejam.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]