Как некомпетентные разработчики приложений открывают доступ к вашим данным

Исследователи компании CheckPoint проанализировали популярные Android-приложения и нашли популярные ошибки в конфигурации сторонних сервисов, из-за которых пострадала безопасность пользовательских данных: это незапароленные базы данных, сторонние сервисы для рассылки пуш-уведомлений и облачные хранилища, ключи от которых хранятся в самом приложении или плохо зашифрованы.

While investigating the content on the publicly available database, we were able to recover a lot of sensitive information including email addresses, passwords, private chats, device location, user identifiers, and more. If a malicious actor gains access these data it could potentially result in service-swipes (ie. trying to use the same username-password combination on other services), fraud, and identity theft.

Среди дырявых приложений: астрологический прогноз с незапароленной базой данных (10 млн скачиваний), приложение такси с данными пользователей в открытом доступе (50 тысяч скачиваний), скрин рекордер с незащищенным облачным хранилищем (10 миллионов скачиваний), приложение для отправки факсов с открытым доступом к облаку с документами пользователей (500 тысяч скачиваний).

Всего 23 приложения поставили под угрозу данные более 100 миллионов пользователей. Просто из-за криворукости разработчиков.