Avustralya merkezli yazılım şirketi Reacts Apps tarafından geliştirilen Family Locator adlı uygulama, ailelerin çocuklarının nerede olduğunu veya eşlerin birbirlerinin nerede olduklarını görmek istemeleri gibi ihtiyaçları karşılama adına gerçek zamanlı olarak birbirlerini izlemelerine olanak tanıyor.
Ayrıca, kullanıcıların bir aile üyesi okul ya da iş gibi belirli bir yere girdiğinde ya da ayrılırken bildirim göndermek için coğrafi güvenlik uyarıları ayarlamalarına izin veriyor.
Ancak, uygulamanın veritabanı, nereye bakılacağını bilen herkes tarafından korunmasız ve erişilebilir halde bırakıldı.
Bir güvenlik araştırmacısı ve GDI Vakfı üyesi olan Sanyam Jain, veri tabanını buldu ve bulguları TechCrunch adlı internet sitesine bildirdi.
Veritabanının incelenmesine dayanarak, her hesap kaydında bir kullanıcının adı, e-posta adresi, profil fotoğrafı ve düz metin şifreleri bulunur. Her hesap aynı zamanda kendi ve diğer aile üyelerinin gerçek zamanlı konumlarının yalnızca birkaç adımına kadar kesin bir kaydını tutuyor. Coğrafi sınırları olan herhangi bir kullanıcı aynı zamanda “ev” veya “iş” gibi, kullanıcının kendi verdiği bilgiyle birlikte veritabanında depolanan koordinatları da içeriyordu.
VERİLERİN HİÇBİRİ ŞİFRELENMEDİ
TechCrunch, “Ugulamayı indirerek ve sahte bir e-posta adresi kullanarak kaydolarak veritabanının içeriğini doğruladık. Saniyeler içinde, gerçek zamanlı konumumuz veritabanında kesin koordinatlar olarak göründü.” dedi.
Ardından TechCrunch, “Uygulamanın veritabanında bulunan koordinatların doğru olduğunu onaylayan rastgele bir uygulama kullanıcısı ile temasa geçtik. İsmini vermek istemeyen Florida merkezli kullanıcı, koordinatların iş yeri olduğunu söyledi. Kullanıcı ayrıca uygulamada listelenen bir aile üyesinin yakındaki bir lisede bir öğrenci olduğunu da doğruladı.” Açıklamasında bulundu.
İncelenen diğer bazı kayıtlarda ayrıca ebeveynlerin ve çocuklarının gerçek zamanlı konumlarını da bulunuyordu.
TechCrunch, bir hafta boyunca geliştirici React Apps ile iletişime geçmeye çalıştığını,şirketin web sitesinde iletişim bilgilerinin ve gizlilik politikasının da bulunmadığını, şirketin işletme kayıtlarını Avustralya Menkul Kıymetler ve Yatırımlar Komisyonu'ndan aldığını aktardı.
Şirketin sahibinin adının Sandip Mann Singh olduğunu öğrenen araştırmacılar, şirkete geri bildirim formu aracılığıyla birkaç mesaj gönderdiklerini, ancak hiçbir dönüş alamadıklarını söyledi.
Son olarak araştırmacılar, Microsoft'tan geliştiriciyle bağlantı kurmasını istediklerini ve saatler sonra, veritabanın çevrimdışı duruma getirildiğini söyledi.
Veritabanının ne kadar süreyle herkese erişilebilir halde kaldığı kesin olarak bilinmiyor.
