Kutatók felfedezték, hogy közel 1,5 millió, speciális társkereső alkalmazásokból származó képet – amelyek közül sok explicit – jelszóvédelem nélkül tároltak az interneten, így kiszolgáltatottá téve azokat a hackereknek és zsarolóknak.

Bárki, aki rendelkezett a linkkel, megtekinthette a privát fotókat öt, az M.A.D Mobile által fejlesztett platformról: a BDSM People és a Chica nevű perverz oldalakról, valamint a Pink, Brish és Translove nevű LMBT alkalmazásokról.

Ezeket a szolgáltatásokat becslések szerint 800-900 ezer ember használja.

Az M.A.D Mobile-t először január 20-án figyelmeztették a biztonsági hibára, de nem tettek lépéseket, amíg a BBC pénteken nem küldött e-mailt.

Azóta kijavították a hibát, de nem közölték, hogyan történt, vagy miért nem védték meg az érzékeny képeket.

A Cybernews etikus hackere, Aras Nazarovas először figyelmeztette a céget a biztonsági résre, miután a szolgáltatásokat működtető kód elemzésével megtalálta az alkalmazások által használt online tárhely helyét.

Megdöbbentette, hogy jelszó nélkül hozzáférhetett a titkosítatlan és védtelen fotókhoz.

“Az első alkalmazás, amit megvizsgáltam, a BDSM People volt, és az első kép a mappában egy harmincas éveiben járó meztelen férfi volt” – mondta.

“Amint megláttam, rájöttem, hogy ennek a mappának nem lett volna szabad nyilvánosnak lennie.”

Elmondása szerint a képek nem korlátozódtak a profilokból származó képekre – voltak köztük olyanok is, amelyeket privát üzenetekben küldtek, sőt, olyanok is, amelyeket a moderátorok eltávolítottak.

Nazarovas úr szerint a nem védett, érzékeny anyagok felfedezése jelentős kockázattal jár a platformok felhasználói számára.

Rosszindulatú hackerek megtalálhatták a képeket és megzsarolhatták a magánszemélyeket.

Azok számára is fennáll a veszély, akik az LMBT emberekkel szemben ellenséges országokban élnek.

A privát üzenetek szöveges tartalmának egyikét sem találták ilyen módon tárolva, és a képek nincsenek felcímkézve felhasználói névvel vagy valódi névvel, ami bonyolultabbá tenné a felhasználók elleni kézműves célzott támadásokat.

Az M.A.D Mobile e-mailben közölte, hogy hálás a kutatónak, amiért feltárta az alkalmazásokban lévő sebezhetőséget, és így megakadályozta az adatvédelmi incidens bekövetkeztét.

De nincs garancia arra, hogy Nazarovas úr volt az egyetlen hacker, aki megtalálta a képtárat.

“Nagyra értékeljük a munkájukat, és már megtettük a szükséges lépéseket a probléma megoldására” – mondta az M.A.D Mobile szóvivője. “A következő napokban további frissítés jelenik meg az alkalmazásokhoz az App Store-ban”.

A vállalat nem válaszolt további kérdésekre, hogy hol van a cég székhelye, és miért tartott hónapokig a probléma kezelése a kutatók többszöri figyelmeztetése után.

Általában a biztonsági kutatók megvárják, amíg egy sebezhetőséget kijavítanak, mielőtt online jelentést tesznek közzé, arra az esetre, ha az további támadási kockázatnak tenné ki a felhasználókat.

Nazarovas úr és csapata azonban úgy döntött, hogy csütörtökön riadót fúj, amíg a probléma még élesben volt, mivel aggódtak, hogy a vállalat nem tesz semmit a javítás érdekében.

“Ez mindig nehéz döntés, de úgy gondoljuk, hogy a nyilvánosságnak tudnia kell, hogy megvédje magát” – mondta.

2015-ben rosszindulatú hackerek nagy mennyiségű ügyféladatot loptak el az Ashley Madison, a házasok számára létrehozott, házastársukat megcsalni kívánó társkereső honlap felhasználóiról.