Laut einem Sicherheitsforscher hat ein Fehler im Online-Forum der Fruchtbarkeits-Tracking-App Glow die persönlichen Daten von rund 25 Millionen Nutzern offengelegt.
Durch den Fehler wurden die Vor- und Nachnamen der Benutzer, die selbst angegebene Altersgruppe (z. B. Kinder im Alter von 13 bis 18 Jahren und Erwachsene im Alter von 19 bis 25 Jahren sowie 26 Jahre und älter), der selbst beschriebene Standort des Benutzers und die eindeutige Benutzerkennung der App offengelegt ( innerhalb der Softwareplattform von Glow) und alle vom Benutzer hochgeladenen Bilder, wie z. B. Profilfotos.
Der Sicherheitsforscher Ovi Liber sagte gegenüber Tech, dass er festgestellt habe, dass Benutzerdaten aus der Entwickler-API von Glow verloren gegangen seien. Liber meldete den Fehler im Oktober an Glow und sagte, Glow habe das Leck etwa eine Woche später behoben.
Eine API ermöglicht die Kommunikation zweier oder mehrerer mit dem Internet verbundener Systeme, beispielsweise der App eines Benutzers und den Backend-Servern der App. APIs können öffentlich sein, aber Unternehmen mit sensiblen Daten beschränken den Zugriff in der Regel auf ihre eigenen Mitarbeiter oder vertrauenswürdige Drittentwickler.
Liber sagte jedoch, dass die API von Glow für jedermann zugänglich sei, da er kein Entwickler sei.
Ein namentlich nicht genannter Glow-Vertreter bestätigte gegenüber Tech, dass der Fehler behoben sei, Glow lehnte es jedoch ab, den Fehler und seine Auswirkungen auf die Aufzeichnung zu besprechen oder den Namen des Vertreters zu nennen. Daher druckt Tech die Antwort von Glow nicht aus.
In einem am Montag veröffentlichten BlogbeitragLiber schrieb, dass die von ihm gefundene Schwachstelle alle 25 Millionen Benutzer von Glow betreffe. Liber sagte gegenüber Tech, dass der Zugriff auf die Daten relativ einfach sei.
Kontaktiere uns
Haben Sie weitere Informationen zu ähnlichen Mängeln in Fruchtbarkeits-Tracking-Apps? Wir würden uns freuen, von Ihnen zu hören. Von einem nicht am Arbeitsplatz befindlichen Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
„Im Grunde hatte ich mein Android-Gerät angeschlossen [network analysis tool] Rülpsen Sie, stöberten Sie im Forum herum und sahen, dass dieser API-Aufruf die Benutzerdaten zurückgab. Dort habe ich das IDOR gefunden“, sagte Liber und bezog sich dabei auf eine Art von Schwachstelle, bei der einem Server die richtigen Kontrollen fehlen, um sicherzustellen, dass der Zugriff nur autorisierten Benutzern oder Entwicklern gewährt wird. „Wo sie sagen, dass es nur Entwicklern zur Verfügung stehen sollte, [it’s] Das stimmt nicht, es handelt sich um einen öffentlichen API-Endpunkt, der Daten für jeden Benutzer zurückgibt – der Angreifer muss lediglich wissen, wie der API-Aufruf erfolgt.“
Auch wenn die geleakten Daten nicht besonders vertraulich erscheinen, ist ein Experte für digitale Sicherheit der Ansicht, dass Glow-Benutzer es verdienen, zu wissen, dass diese Informationen zugänglich sind.
„Ich denke, das ist eine ziemlich große Sache“, sagte Eva Galperin, Direktorin für Cybersicherheit bei der gemeinnützigen Organisation Electronic Frontier Foundation für digitale Rechte, gegenüber Tech und bezog sich dabei auf Libers Forschung. „Auch ohne auf die Frage einzugehen, was ist und was nicht [private identifiable information] Unter welcher rechtlichen Regelung könnten die Nutzer von Glow ihre Nutzung ernsthaft überdenken, wenn sie wüssten, dass diese Daten über sie durchsickern.“
Glow, das 2013 auf den Markt kam, beschreibt sich selbst als „die umfassendste Perioden-Tracker- und Fruchtbarkeits-App der Welt“, mit der Menschen ihren „Menstruationszyklus, Eisprung und Fruchtbarkeitszeichen an einem Ort verfolgen können“.
Im Jahr 2016 stellte Consumer Reports fest, dass es aufgrund einer Datenschutzlücke im Zusammenhang mit der Art und Weise, wie die App es Paaren ermöglichte, ihre Konten zu verknüpfen und Daten auszutauschen, möglich war, auf die Daten und Kommentare von Glow-Benutzern über ihr Sexualleben, die Vorgeschichte von Fehlgeburten, Abtreibungen und mehr zuzugreifen . Im Jahr 2020, Glow erklärte sich bereit, eine Geldstrafe von 250.000 US-Dollar zu zahlen nach einer Untersuchung des kalifornischen Generalstaatsanwalts, die dem Unternehmen vorwarf, es versäumt zu haben, „angemessene Schutzmaßnahmen zu ergreifen“. [users’] Gesundheitsinformationen“ und „erlaubter Zugriff auf Benutzerinformationen ohne Zustimmung des Benutzers“.