Doğurganlık takipçisi Glow, kullanıcıların kişisel verilerinin açığa çıkmasına neden olan hatayı düzeltir

Bir güvenlik araştırmacısına göre, doğurganlık izleme uygulaması Glow’un çevrimiçi forumunda yer alan bir hata, yaklaşık 25 milyon kullanıcının kişisel verilerini açığa çıkardı.

Hataya maruz kalan kullanıcıların adı ve soyadı, kendilerinin bildirdiği yaş grubu (13-18 yaş arası çocuklar ve 19-25 yaş arası yetişkinler ile 26 yaş ve üstü gibi), kullanıcının kendi tanımladığı konumu, uygulamanın benzersiz kullanıcı tanımlayıcısı ( Glow’un yazılım platformunda) ve profil fotoğrafları gibi kullanıcı tarafından yüklenen görseller.

Güvenlik araştırmacısı Ovi Liber, TechCrunch’a Glow’un geliştirici API’sinden kullanıcı verilerinin sızdığını bulduğunu söyledi. Liber, Ekim ayında Glow’a hatayı bildirdi ve Glow’un sızıntıyı yaklaşık bir hafta sonra düzelttiğini söyledi.

API, bir kullanıcının uygulaması ve uygulamanın arka uç sunucuları gibi iki veya daha fazla internete bağlı sistemin birbiriyle iletişim kurmasına olanak tanır. API’ler herkese açık olabilir ancak hassas verilere sahip şirketler genellikle erişimi kendi çalışanlarına veya güvenilir üçüncü taraf geliştiricilere kısıtlar.

Ancak Liber, geliştirici olmadığı için Glow’un API’sine herkesin erişebileceğini söyledi.

İsimsiz bir Glow temsilcisi TechCrunch’a hatanın düzeltildiğini doğruladı ancak Glow, hatayı ve bunun kayıt üzerindeki etkisini tartışmayı veya temsilcinin adını vermeyi reddetti. Bu nedenle TechCrunch, Glow’un yanıtını yazdırmıyor.

Pazartesi günü yayınlanan bir blog yazısında Liber, bulduğu güvenlik açığının Glow’un 25 milyon kullanıcısının tamamını etkilediğini yazdı. Liber, TechCrunch’a verilere erişmenin nispeten kolay olduğunu söyledi.

“Temel olarak Android cihazımı bir bilgisayara bağladım [network analysis tool] Burp ve forumda dolaştım ve API çağrısının kullanıcı verilerini döndürdüğünü gördüm. IDOR’u orada buldum,” dedi Liber, bir sunucunun erişimin yalnızca yetkili kullanıcılara veya geliştiricilere verildiğinden emin olmak için uygun kontrollerin bulunmadığı bir tür güvenlik açığına atıfta bulundu. “Yalnızca geliştiricilerin kullanımına açık olması gerektiğini söyledikleri yerde, [it’s] doğru değil, her kullanıcı için veri döndüren genel bir API uç noktasıdır; yalnızca saldırganın API çağrısının nasıl yapıldığını bilmesi gerekir.”

Sızan veriler çok hassas görünmese de bir dijital güvenlik uzmanı, Glow kullanıcılarının bu bilgilerin erişilebilir olduğunu bilmeyi hak ettiğine inanıyor.

Dijital haklar kar amacı gütmeyen Electronic Frontier Foundation’ın siber güvenlik direktörü Eva Galperin, TechCrunch’a Liber’in araştırmasına atıfta bulunarak “Bunun oldukça büyük bir olay olduğunu düşünüyorum” dedi. “Nedir, ne değildir sorusuna girmeden bile [private identifiable information] Hangi yasal rejim altında Glow’u kullanan kişiler, Glow’un kendileri hakkındaki bu verileri sızdırdığını bilseler, kullanımlarını ciddi şekilde yeniden düşünebilirler.”

2013 yılında piyasaya sürülen Glow, kendisini insanların “adet döngüsünü, yumurtlama ve doğurganlık belirtilerini tek bir yerden” takip etmek için kullanabileceği “dünyanın en kapsamlı regl takibi ve doğurganlık uygulaması” olarak tanımlıyor.

2016 yılında Tüketici Raporları, uygulamanın çiftlerin hesaplarını bağlamasına ve veri paylaşmasına izin verme şekliyle ilgili bir gizlilik boşluğu nedeniyle Glow kullanıcılarının cinsel yaşamları, düşük geçmişi, kürtaj geçmişi ve daha fazlası hakkındaki verilerine ve yorumlarına erişmenin mümkün olduğunu tespit etti. . 2020 yılında Glow, Kaliforniya Başsavcısı’nın şirketi “yeterince koruma sağlamamakla” suçlayan soruşturmasının ardından 250.000 dolar para cezası ödemeyi kabul etti. [users’] sağlık bilgileri” ve “kullanıcının izni olmadan kullanıcının bilgilerine erişime izin verilmesi”.