Сайт для групповых знакомств пустил под откос «поезд конфиденциальности»

Из-за уязвимости в приложении 3Fun скомпрометированы личные данные и местоположение более 1,5 млн пользователей, передает TechCrunch.

Приложение 3Fun, созданное в 2016 г. разработчиками из Гонконга, позиционируется как сайт для знакомств раскрепощенных пар и одиноких пользователей. Как выяснилось, сервис был далеко не безупречен в плане безопасности личной информации. Кен Манро (Ken Munro), основатель компании Pen Test Partners, обнаруживший уязвимость на 3Fun, заявил, что «вероятно, мы имеем дело с наихудшей системой безопасности приложения для знакомств, которую мы когда-либо видели».

Манро и его коллеги недавно выяснили, что 3Fun раскрывает местоположение, приватные фотографии и другие персональные данные пользователей, находящихся поблизости от того или иного подписчика приложения. Исследователи убедились, что уязвимость на сервисе знакомств позволяет уточнять личную информацию даже о пользователях, находящихся на территории правительственных учреждений и различных секретных объектах. Более того, в режиме онлайн было доступно изменение собственных координат и передача ложных сведений на сервер.

Журналисты TechCrunch, первыми узнавшие от Кена Манро об утечке из 3Fun, убедились, что из-за ошибки в приложении можно было получать данные о любом пользователе, включая имя, сведения о сексуальных предпочтениях, информацию о партнерах. В некоторых случаях были доступны даты рождения, что позволяло выяснить реальную личность пользователя. Никакие данные в приложении не были зашифрованы. Это «крушение поезда конфиденциальности», констатировали исследователи.