Приложение 3Fun был не в состоянии обрабатывать запросы Профиль пользователя надежно, позволяя для поиска местоположения. ‘Это поезд конфиденциальности крушение: сколько отношения или карьера могла быть закончена через эти данные разоблачения? — говорит проба пера партнерами.
Сцепление приложение предназначено, чтобы помочь вам организовать групповушку была утечка пользовательских данных, включая местоположения в режиме реального времени.
3Fun, который имеет 1,5 млн пользователей, позиционирует себя как «самый безопасный секс втроем свингеры и приложение» онлайн. Но по кибербезопасности фирма проба пера партнерами, 3Fun, вероятно, имеет худшие безопасности он когда-либо видел на приложение знакомств.
Проблема в том, как приложение получает и возвращает информацию о профиле для других пользователей, которые находятся поблизости. 3Fun будет обрабатывать данные на стороне клиента (в данном случае смартфон), а не за собственный веб-сервер.
Когда вы смотрите под капот, можно просмотреть данные-выборки процесса в виде обычного текста. Оформить заявку на другие свингеров поблизости, и 3Fun вернется с информацией, что выходит за рамки показа типичная анкета; он может раскрыть другого пользователя данные о местоположении по широте и долготе и дату рождения, кроме человека, сексуальной ориентации и предпочитал играм.
«Это поезд конфиденциальности крушение: сколько отношения или карьера могла быть закончена через эти данные разоблачения?» тестер проникания безопасности фирмы Алекс Ломас написал в четверг в блоге.
Проба пера партнеры продемонстрировали риски конфиденциальности путем размещения карты, которые показали места десятки 3Fun пользователей в Великобритании, Лондоне и Вашингтоне. Один 3Fun пользователей даже появилась, чтобы находиться в Белом доме. «Эти данные могут использоваться, чтобы преследовать пользователей в режиме реального времени, выставлять свою частную деятельность и хуже,» проба пера партнеры добавил.
Функции конфиденциальности приложения также оказались бесполезными. Проба пера партнерами удалось посмотреть профиль фотографии и данные о местоположении, даже когда пользователь установить их, чтобы быть частным.
Хорошая новость заключается в том, что разработчик 3Fun утверждает, исправил проблемы в прошлом месяце. «Данные пользователей не разглашаются. Мы продолжим концентрировать усилия на обеспечение более безопасного продукта для наших пользователей,» разработчик сказал в электронной почте. Однако, проба пера партнеры сказали, что он подозревает, что приложение может иметь другие уязвимости.