פרטי מידע של קורבנות אלימות במשפחה דלפו מהאפליקציה של ד"ר פיל מקגרו
חוקרי הסייבר vpnMentor הישראלים גילו את הפרצה באפליקציה Aspire News App, שמאחוריה עומדים הדמויות הטלוויזיוניות ד"ר פיל מק'גרו ורעייתו רובין. כך נחשפו הקלטות של 4,000 קורבנות, לצד פרטיהם המלאים ופרטי התוקפים שלהם, כך שכל אחד היה יכול להאזין
אפליקציה להתמודדות עם אלימות במשפחה, מאחוריה עומדים האישיות הטלוויזיוניות ד"ר פיל מק'גרו ורעייתו רובין, הדליפה את פרטיהם המלאים של אלפי קרבנות אלימות במשפחה, כולל שמם המלא ומיקומם המדויק – כך חושף צוות חוקרי סייבר ישראלים של אתר vpnMentor, בהובלת ההאקרים נעם רותם ורן לוקאר. הדיווח מתפרסם רק לאחר שהפרצה תוקנה.
- פרצת אבטחה בחברת Annatel חשפה אלפי התכתבויות בין לקוחות לעובדי החברה
- חוקרים ישראלים חשפו דליפת מידע עצומה, שמסכנת את אקוודור
- פרצת אבטחה באתר פורנו חשפה זהות של כמיליון משתמשים, בהם ישראלים
האפליקציה, Aspire News App, נראת כמו אפליקציה חדשות רגילה, עם ידיעות עדכניות בתחומים כמו פוליטיקה, ספורט ובידור. ואולם, לצד אלו היא כוללת חלק סיוע לקרבנות אלימות במשפחה, שבו הם יכולים לקבל מידע רלוונטי ובמקרה חירום לשלוח הודעת חירום קולית לאדם שבו הם בוטחים. האפליקציה פותחה על ידי עמותת When Georgia Smiled, שהוקמה על ידי בני הזוג מק'גרו.
ד"ר פיל מקגרו צילום: אי פי אי
לאור המידע הרגיש שעובר דרך האפליקציה, אפשר היה לצפות שהיא והמערכות השונות שמתחברות אליה יאובטחו ברמה הגבוהה ביותר. ואולם, כפי שגילו חוקרי vpnMentor, תיקייה בשירות הענן של אמזון, אליה נשמרו הודעות קוליות שהקליטו משתמשי האפליקציה, לא הוגדרה כראוי וחשפה הקלטות של 4,000 קרבנות, לצד שמם המלא, כתובתם, המיקום המדויק שלהם, פרטי מצב החירום שלהם ופרטי התוקפים שלהם. כתוצאה, כל אחד יכול היה להאזין להקלטות ולהוריד אותן.
לדברי החוקרים המידע שבתיקייה היה עדכני ובימים מסוימים נוספו לו עד 10 הקלטות חדשות. אלו כללו למשל הקלטה שבה נאמר "(שם מלא) מאיים עלי או פוגע בי. בבקשה תשלחו עזרה עכשיו. (כתובת מלאה)", או "בבקשה תתקשרו מיד למשטרה ותבקשו שיגיעו ל-(כתובת מלאה). אני בסכנה גדולה. תשלחו את המשטרה מיד, בבקשה". החוקרים העריכו שההקלטות הוקלטו מראש, כנראה כשלקרבן היו כמה דקות לבד, מתוך מטרה לשלוח אותן במהירות בעת מצוקה. "מאותו רגע ניתן לשלוח הודעות שמורות לאיש קשר שהוגדר מראש בלחיצת כפתור בתוך האפליקציה", הם הוסיפו.
"כל פרצת אבטחה מסכנת את אלו שנפגעו ממנה. ואולם, לאפליקציה שמיועדת לקרבנות אלימות במשפחה יש אחריות גדולה הרבה יותר למשתמשיה", כתבו החוקרים בדו"ח שפרסמו. " Aspire News Appנבנתה כדי להגן על קרבנות, אבל בכך שלא הגנה על פרטיותם האפליקציה הציבה אותם בסכנה גדולה יותר. דליפת המידע הזו היא לקח לכך המפתחים, במיוחד אלו שיוצרים אפליקציות לאוכלוסיות בסיכון, שפרטיות מידע צריכה תמיד להיות בעדיפות עליונה".
לדבריהם, דליפה המידע הציבה את משתמשי האפליקציה בסכנה ממשית: "אם ההקלטות היו נעשות פומביות, כל מי שגר עם בן זוג מתעלל יכול לסבול מעונש על כך שניסה לדווח עליו לרשויות. גם אם מישהו נמלט ממערכת יחסים מתעללת, הוא עלול להיות קרבן לתגמול מצד בן הזוג לשעבר. מדאיג מכל, פושעי סייבר יכולים להשתמש בהקלטות על מנת לסחוט קרבנות ומתעללים כאחד".
בעמותה שמפעילה את האפליקציה לא הגיבו לפניית TechCrunch בנושא.
