mboost-dp1

3Fun

Gruppedating-app lækker næsten alt om deres 1,5 millioner brugere

- Via TechCrunch -

Dating-appen 3fun har lækket meget personlig data om alle appens 1,5 millioner brugere.

Pen Test Partners har afsløret et stort læk hos gruppesex-appen 3fun. De kalder appens sikkerhed for den værste, de nogensinde har set i en dating-app.

Lækket betød, at alle kunne få fat på personlig information, chat-data, private billeder og live-placeringsdata for enhver af appens 1,5 millioner brugere.

Et af problemerne var, at brugernes placeringsdata tilsyneladende blev gemt i selve appen i stedet for selskabets servere.

3fun blev underrettet omkring sårbarheden den 1. juli og har siden løst sikkerhedsproblemet.

Læs også Tinder vil advare rejsende brugere i lande med LGBT-forbud.





Gå til bund
Gravatar #1 - CBM
9. aug. 2019 11:55
LOL
Gravatar #2 - Zalon
9. aug. 2019 12:15
Hvorfor er det altid lige den slags apps/websites som er hullet som en si?

Var det ikke Victoria Milan som det der sidesprings site hed? Hvor folk endte med at skulle betale for ikke at stå på en liste over partnere som begik utroskab, fordi de havde et læk?
Gravatar #3 - Claus Jørgensen
9. aug. 2019 17:10
#2

Udviklerne er russere, typisk uden stor erfaring
Gravatar #4 - arne_v
9. aug. 2019 17:16
#2

Spørgsmålet er om de er mere hullede end andre eller om de bare får mere presseomtale.

Hvis et nyheds-site skal vælge mellem 2 historier:
* data læk i gruppe-sex app
* data læk i traktor-reperation app
hvilken vælges så?

:-)
Gravatar #5 - Staeren Revived
9. aug. 2019 17:28
arne_v (4) skrev:

* data læk i gruppe-sex app
* data læk i traktor-reperation app


Taget i betragtning, at der blev lækket privatbilleder, så vil jeg gerne stille et par alvorlige spørgsmål til, hvordan du reparerer din traktor, for med mindre du gør det i bar røv og kogler, imens der tages billeder af det, så vil jeg ærligt talt påstå, at din kommentar ikke gav meget mening.
Gravatar #6 - arne_v
9. aug. 2019 17:45
Staeren Revived (5) skrev:

så vil jeg ærligt talt påstå, at din kommentar ikke gav meget mening.


Så lad mig pensle det ud.

Påstanden var:

Zalon (2) skrev:

Hvorfor er det altid lige den slags apps/websites som er hullet som en si?


Mit svar var:

arne_v (4) skrev:

Spørgsmålet er om de er mere hullede end andre eller om de bare får mere presseomtale.

Hvis et nyheds-site skal vælge mellem 2 historier:
* data læk i gruppe-sex app
* data læk i traktor-reperation app
hvilken vælges så?


Der er mange forskellige apps, men selvom de har samme antal fejl, så vil der være forskel på konsekvens og medie dækning.

Ved mange typer apps vil mange være ligeglade med sikkerheden.

Og nyheds sites bringer historier som giver kliks. Sex giver kliks.

Så derfor vil sex apps/sites optræde relativt hyppigere i historier omkring sikkerhedsproblemer selvom de har samme sandsynlighed for sikkerhedsproblemer som andre apps7sites.

Og derfor kan man ikke konkludere udfra overrepræsentation af historier om sikkerhedsproblemer med sex apps/sites at de har større sandsynlighed for fejl.

Har du fanget pointen nu?
Gravatar #7 - KimMadsen
11. aug. 2019 15:58
Der må være _meget_ mere i den historie, end at den gemmer brugerens egne info på brugerens egen mobil device.
Hvis 1.5 million personers data er lækket, så er der enten 1.5 millioner personers data på hver enkelt mobil device, alternativt er der en server med håbløs sikkerhed.
Gravatar #8 - ScorpD
11. aug. 2019 19:23
KimMadsen (7) skrev:
Der må være _meget_ mere i den historie, end at den gemmer brugerens egne info på brugerens egen mobil device.
Hvis 1.5 million personers data er lækket, så er der enten 1.5 millioner personers data på hver enkelt mobil device, alternativt er der en server med håbløs sikkerhed.


Nyhedsteksten er lidt sjovt formuleret.
Når der står gemt i app'en, så menes der filtreret i app'en.

Alt information, inkl. skjult info/billeder og eksakt lokation for personer i nærheden blev sendt til app'en.
Gravatar #9 - arne_v
11. aug. 2019 19:26
#7


Lækket betød, at alle kunne få fat på personlig information, chat-data, private billeder og live-placeringsdata for enhver af appens 1,5 millioner brugere.

Et af problemerne var, at brugernes placeringsdata tilsyneladende blev gemt i selve appen i stedet for selskabets servere.


er vist lidt upræcist.

Kilden https://techcrunch.com/2019/08/08/group-dating-app... siger:


Pen Test Partners researchers found the app was leaking the precise location, photos and other personal details of any nearby user.

Worse, because the app wasn’t properly secured, the researchers found they could plug in any coordinates they wanted to spoof their location, revealing sensitive information on anyone within any location of their choosing, including government buildings, military bases and even intelligence agencies.


og deres kilde https://www.pentestpartners.com/security-blog/grou... siger:


BUT, that data is only filtered in the mobile app itself, not on the server. It’s just hidden in the mobile app interface if the privacy flag is set. The filtering is client-side, so the API can still be queried for the position data. FFS!


Hvilket jeg læser som at der er/var 2 katastrofale sikkerhedshuller:

1) serveren sender al data til mobile app som så filterer al det der ikke må vises fra -

2) position angives af mobile app i kald til server

Så det er nemt at hente al information for alle brugere ved at sende requests fra alle mulige placeringer.
Gravatar #10 - Zalon
11. aug. 2019 21:40
#9, kæft det er dumt! Men altså, det er jo lidt det samme som i spil hvor klienten modtager information om spillere i ddn anden ende af banen, så folk kan benytte wallhack.

Men ligesom at der findes håndværkere uden respekt for deres håndværk, så gælder det samme vel for programmører.

Problemet er nok mere at modtageren ofte ikke har teknisk forstand nok til at vurdere kvaliteten af det udførte arbejde.
Gravatar #11 - arne_v
11. aug. 2019 22:18
#10

Meget dårligt murer og tømrer arbejde er synligt. Man kan se når noget er skævt og mærke når noget er løst. Det meste dårlige programmerings arbejde er usynligt for brugerne.
Gravatar #12 - Zalon
12. aug. 2019 10:48
arne_v (11) skrev:
#10

Meget dårligt murer og tømrer arbejde er synligt. Man kan se når noget er skævt og mærke når noget er løst. Det meste dårlige programmerings arbejde er usynligt for brugerne.

Men du ved typisk ikke om materialerne er af god nok kvalitet, eller om de ting som ikke er synlige er lavet ordenligt.

Men i forhold til programmering, så mente jeg som sådan ikke slut brugerne, fordi de har nærmest ingen mulighed for at se hvordan et program er designet.

Jeg mente dem som bestiller arbejdet, ofte er det jo folk som ikke har forstand på IT, og kun har mulighed for at vurdere om det virker og ikke hvordan det virker.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login