27.03.2025
1 хв
736
Дослідники виявили масштабний витік даних з iOS-застосунків для знайомств: понад 1,5 мільйона приватних світлин, включаючи інтимні зображення з чатів, стали загальнодоступними через неналежно налаштовані хмарні сховища. Витік зачепив користувачів програм BDSM People, CHICA, TRANSLOVE, PINK і BRISH, котрі особливо вразливі через свою приналежність до маргіналізованих спільнот.
У відкритому доступі опинилися фото профілів, приватні повідомлення, зображення, видалені модераторами, фото з верифікації, а також контент із публічних дописів. Причина — розробник M.A.D Mobile Apps Developers Limited зберігав секрети API, ID проєктів та ключі доступу безпосередньо в коді застосунків. Це давало змогу зловмисникам автоматично під’єднуватись до сховищ Google Cloud, котрі не мали паролів чи обмежень.
Окремо наголошено на ризиках для ЛГБТК+ користувачів, особливо у країнах, де гомосексуальність криміналізована. Хакери можуть використати витоки для шантажу, фішингу, соціальної інженерії та дискредитації, навіть не маючи email чи нікнейму — через OSINT-методи, як-от зворотний пошук зображень.
Дослідження охопило 156 000 iOS-програм. Усі згадані застосунки належать одному розробнику, що пояснює однакову архітектуру проблеми. Серед постраждалих:
Попри відсутність email-адрес і нікнеймів, витік фото створює реальні загрози безпеці, репутації й особистому життю користувачів. Ситуація ще раз доводить, що вразливість коду — це вразливість людей. Cybernews очікує на відповідь розробників і закликає Apple звернути увагу на політику перевірки додатків у App Store.
