Um bug no fórum online do aplicativo de monitoramento de fertilidade Glow expôs os dados pessoais de cerca de 25 milhões de usuários, segundo um pesquisador de segurança.

O bug expôs o nome e o sobrenome dos usuários, a faixa etária autodeclarada (como crianças de 13 a 18 anos e adultos de 19 a 25 anos e 26 anos ou mais), a localização autodescrita do usuário, o identificador exclusivo de usuário do aplicativo ( na plataforma de software da Glow) e quaisquer imagens enviadas pelo usuário, como fotos de perfil.

O pesquisador de segurança Ovi Liber disse ao TechCrunch que encontrou vazamento de dados do usuário da API do desenvolvedor do Glow. Liber relatou o bug ao Glow em outubro e disse que o Glow corrigiu o vazamento cerca de uma semana depois.

Uma API permite que dois ou mais sistemas conectados à Internet se comuniquem entre si, como o aplicativo de um usuário e os servidores back-end do aplicativo. As APIs podem ser públicas, mas as empresas com dados confidenciais normalmente restringem o acesso a seus próprios funcionários ou a desenvolvedores terceirizados confiáveis.

Liber, porém, disse que a API do Glow é acessível a qualquer pessoa, já que ele não é desenvolvedor.

Um representante não identificado da Glow confirmou ao TechCrunch que o bug foi corrigido, mas a Glow se recusou a discutir o bug e seu impacto no registro ou fornecer o nome do representante. Como tal, o TechCrunch não está imprimindo a resposta do Glow.

Em uma postagem de blog publicada na segunda-feira, Liber escreveu que a vulnerabilidade que encontrou afetou todos os 25 milhões de usuários do Glow. Liber disse ao TechCrunch que acessar os dados foi relativamente fácil.

Contate-nos

Você tem mais informações sobre falhas semelhantes em aplicativos de monitoramento de fertilidade? Adoraríamos ouvir de você. De um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram, Keybase e Wire @lorenzofb, ou e-mail lorenzo@techcrunch.com. Você também pode entrar em contato com o TechCrunch via SecureDrop.

“Basicamente, meu dispositivo Android estava conectado [network analysis tool] Burp e vasculhou o fórum e viu aquela chamada de API retornando os dados do usuário. Foi aí que encontrei o IDOR”, disse Liber, referindo-se a um tipo de vulnerabilidade em que um servidor não possui as verificações adequadas para garantir que o acesso seja concedido apenas a usuários ou desenvolvedores autorizados. “Onde eles dizem que deveria estar disponível apenas para desenvolvedores, [it’s] não é verdade, é um endpoint de API público que retorna dados para cada usuário – simplesmente o invasor precisa saber como a chamada de API é feita.”

Embora os dados vazados possam não parecer extremamente confidenciais, um especialista em segurança digital acredita que os usuários do Glow merecem saber que essas informações estão acessíveis.

“Acho que isso é um grande negócio”, disse Eva Galperin, diretora de segurança cibernética da Electronic Frontier Foundation, sem fins lucrativos de direitos digitais, ao TechCrunch, referindo-se à pesquisa de Liber. “Mesmo sem entrar na questão do que é e do que não é [private identifiable information] sob esse regime jurídico, as pessoas que usam o Glow poderiam reconsiderar seriamente seu uso se soubessem que ele vazou esses dados sobre elas.”

Glow, lançado em 2013, descreve-se como “o aplicativo de monitoramento de período e fertilidade mais abrangente do mundo”, que as pessoas podem usar para monitorar seu “ciclo menstrual, ovulação e sinais de fertilidade, tudo em um só lugar”.

Em 2016, a Consumer Reports descobriu que era possível acessar dados e comentários de usuários do Glow sobre suas vidas sexuais, histórico de abortos espontâneos, abortos e muito mais, devido a uma brecha de privacidade relacionada à forma como o aplicativo permitia que casais vinculassem suas contas e compartilhassem dados. . Em 2020, Glow concordou em pagar uma multa de US$ 250 mil após uma investigação do Procurador-Geral da Califórnia, que acusou a empresa de não ter “salvaguardado adequadamente [users’] informações de saúde” e “acesso permitido às informações do usuário sem o consentimento do usuário”.

Fuente