Геолокации, ВИЧ-статус и интимные чаты — база приложения для знакомств оказалась нараспашку
NewsMakerРазработчики Headero забыли про защиту… и вот, к чему это привело.
Команда исследователей из Cybernews обнаружила масштабную утечку данных в приложении Headero — популярной платформе для знакомств в квир-среде и среди представителей альтернативных сообществ. Утечка затронула более четырёх миллионов записей, включая интимные переписки, данные о состоянии здоровья, точные координаты пользователей и их личные предпочтения.
Приложение, доступное в Google Play и распространяемое американской компанией ThotExperiment, предлагает функции геолокационного поиска, настройки профиля и личной переписки. Однако за внешне привычным интерфейсом скрывался серьезный технический пробел — незащищённая база данных , открытая для доступа из интернета.
Самое тревожное — в открытом виде хранились точные GPS-координаты пользователей, что может представлять реальную угрозу безопасности, особенно для представителей уязвимых групп, живущих в странах или регионах с высоким уровнем дискриминации. Сама по себе утечка данных из приложения знакомств уже чувствительна, но когда к этому добавляется возможность отследить человека по геолокации — риски становятся критическими.
Это далеко не первый случай, когда приложения для знакомств становятся источником утечек конфиденциальной информации. Ранее Cybernews уже публиковал отчёты о похожих инцидентах: в числе затронутых оказались сервисы, ориентированные на BDSM-сообщества, ЛГБТК+ аудиторию и платформы для «сахарных» знакомств. В ряде случаев в открытом доступе оказывались личные фотографии из чатов, верификационные изображения и даже удалённые снимки, изъятые за нарушение правил.
В одном из таких случаев были раскрыты почти 1,5 миллиона изображений , отправленных как в публичных постах, так и в приватной переписке. Аналогии с текущей ситуацией очевидны: техническая халатность разработчиков приводит к обнажению личной жизни тысяч людей.
Сейчас база данных Headero заблокирована, однако до сих пор неизвестно, успели ли злоумышленники воспользоваться уязвимостью до её закрытия. Учитывая характер утекшей информации, даже один день открытого доступа мог привести к фатальным последствиям — от вымогательства до физического преследования.
Этот инцидент вновь напоминает, что даже в сфере личных и интимных знакомств технологии безопасности часто остаются на втором плане. Но когда на кону не только конфиденциальность, но и физическая безопасность, такая небрежность становится недопустимой.
Команда исследователей из Cybernews обнаружила масштабную утечку данных в приложении Headero — популярной платформе для знакомств в квир-среде и среди представителей альтернативных сообществ. Утечка затронула более четырёх миллионов записей, включая интимные переписки, данные о состоянии здоровья, точные координаты пользователей и их личные предпочтения.
Приложение, доступное в Google Play и распространяемое американской компанией ThotExperiment, предлагает функции геолокационного поиска, настройки профиля и личной переписки. Однако за внешне привычным интерфейсом скрывался серьезный технический пробел — незащищённая база данных , открытая для доступа из интернета.
Самое тревожное — в открытом виде хранились точные GPS-координаты пользователей, что может представлять реальную угрозу безопасности, особенно для представителей уязвимых групп, живущих в странах или регионах с высоким уровнем дискриминации. Сама по себе утечка данных из приложения знакомств уже чувствительна, но когда к этому добавляется возможность отследить человека по геолокации — риски становятся критическими.
Среди обнародованных данных оказались:
- имена и адреса электронной почты;
- данные для входа через социальные сети;
- JWT-токены (токены аутентификации);
- фотографии профиля;
- токены устройств;
- предпочтения в сексуальном поведении;
- статус по передающимся половым путём инфекциям (включая ВИЧ).
Объём утечки поражает:
- ???? 352 081 профилей пользователей
- ???? 3 032 001 приватных сообщений
- ???? 1 096 904 записей в групповых чатах
Это далеко не первый случай, когда приложения для знакомств становятся источником утечек конфиденциальной информации. Ранее Cybernews уже публиковал отчёты о похожих инцидентах: в числе затронутых оказались сервисы, ориентированные на BDSM-сообщества, ЛГБТК+ аудиторию и платформы для «сахарных» знакомств. В ряде случаев в открытом доступе оказывались личные фотографии из чатов, верификационные изображения и даже удалённые снимки, изъятые за нарушение правил.
В одном из таких случаев были раскрыты почти 1,5 миллиона изображений , отправленных как в публичных постах, так и в приватной переписке. Аналогии с текущей ситуацией очевидны: техническая халатность разработчиков приводит к обнажению личной жизни тысяч людей.
Сейчас база данных Headero заблокирована, однако до сих пор неизвестно, успели ли злоумышленники воспользоваться уязвимостью до её закрытия. Учитывая характер утекшей информации, даже один день открытого доступа мог привести к фатальным последствиям — от вымогательства до физического преследования.
Этот инцидент вновь напоминает, что даже в сфере личных и интимных знакомств технологии безопасности часто остаются на втором плане. Но когда на кону не только конфиденциальность, но и физическая безопасность, такая небрежность становится недопустимой.