Uzyskano dostęp do zdjęć i lokalizacji użytkowników - aplikacja do umawiania się na grupowy seks zaliczyła wpadkę

Badacze Pen Test Partners nazywają zabezpieczenia 3fun najgorszymi, jakie kiedykolwiek widzieli wśród aplikacji randkowych. To wysoko postawione poprzeczka, jak sami przyznają, aplikacje randkowe miewają naprawdę złe zabezpieczenia.

Dane, do których ze względu na kiepskie zabezpieczenie aplikacji dotarli badacze, pozwalają bez problemu zidentyfikować poszczególne osoby.

Gromadzone informacje geolokalizacyjne pozwalały na bardzo precyzyjne ustalenie, gdzie znajduje się osoba, która korzysta z 3fun. Dzięki szerokości i długości geograficznej można na ich podstawie zidentyfikować konkretny dom czy budynek. W teorii miało to ułatwić zainteresowanym sobą użytkownikom łatwiejsze odnalezienie się w miejskiej dżungli, w praktyce mogło się okazać katastrofalne. Choć tę opcję można było wyłączyć, ale w praktyce zmieniało to niewiele, bo nie powstrzymywało to aplikacji przed gromadzeniem danych i wysyłaniem ich na serwer.

Jednak nie tylko dane lokalizacyjne mogą zdemaskować użytkowników. Łatwo dostępne były także daty urodzenia, płeć, informacje o orientacji seksualnej i, co najgorsze, zdjęcia użytkowników aplikacji i to nawet te umieszczone w prywatnych albumach.

Wśród adresów, z których przeglądano aplikację, znalazł się Biały Dom, Sąd Najwyższy Stanów Zjednoczonych i siedziba brytyjskiego parlamentu. Na szczęście kręci się tam na tyle dużo osób, że jest szansa, że użytkownicy 3fun zachowają swoją anonimowość, a to jest szczególnie istotne w tym wypadku. Każdy, kogo dane pojawiają się w takim kontekście, narażony jest na szantaż, tym bardziej, jeśli jest osobą publiczną. Na szali są związki, rodziny, kariery, status społeczny i dalsze normalne życie.

Tego typu aplikacje powinny mieć szczególnie dobrą ochronę, nie szczególnie złą. Po interwencji Pen Test Partners dziury w zabezpieczeniach 3fun zostały załatane.