חוקרי אבטחה גילו כמעט 1.5 מיליון תמונות פרטיות מאפליקציות היכרויות שהיו חשופות ברשת ללא הגנת סיסמה, ביניהן תמונות אינטימיות רבות של משתמשים. הפרצה חשפה תוכן אישי ורגיש ממספר אפליקציות היכרויות ייעודיות, והפכה את המשתמשים פגיעים לסחיטה ולניצול.

הפרצה התגלתה בחמש פלטפורמות שפותחו על ידי חברת M.A.D Mobile, ביניהן אתרי קינק כמו BDSM People ו-Chica, ואפליקציות היכרויות לקהילת הלהט"ב כמו Pink, Brish ו-Translove. לאתרים הללו יש בין 800,000 ל-900,000 משתמשים פעילים.

אראס נזרובאס, חוקר בחברת Cybernews, גילה את הפרצה כאשר ניתח את הקוד המפעיל את האפליקציות ומצא את מיקום האחסון המקוון שלהן. להפתעתו, הוא גילה שכל מי שהיה בידיו הקישור הנכון יכול היה לגשת לתמונות הפרטיות ללא צורך בסיסמה או אימות כלשהו.

"האפליקציה הראשונה שבדקתי הייתה BDSM People, והתמונה הראשונה בתיקייה הייתה של גבר עירום בשנות השלושים לחייו," סיפר נזרובאס. "ברגע שראיתי זאת, הבנתי שהתיקייה הזו לא הייתה אמורה להיות ציבורית."
היקף החשיפה

אפליקציית CHICA, המתמחה בחיבור בין נשים לגברים עשירים, הכילה מאגר עם 133,000 תמונות משתמשים
התמונות שנחשפו כללו לא רק תמונות פרופיל, אלא גם תמונות ששולחו בהודעות פרטיות ואפילו תמונות שהוסרו על ידי מנהלי האפליקציות

החוקרים הדגישו כי פרצת האבטחה יכלה לשמש האקרים זדוניים לסחיטת משתמשים או להפצת תמונותיהם האישיות. הסיכון גדול במיוחד עבור משתמשי אפליקציות להט"ב החיים במדינות עוינות לקהילה.
אמנם התמונות לא היו מסומנות בשמות משתמש או שמות אמיתיים, מה שהקשה על תקיפות ממוקדות, אך עדיין מדובר בפגיעה חמורה בפרטיות.

M.A.D Mobile קיבלה לראשונה אזהרה לגבי פרצת האבטחה כבר ב-20 בינואר, אך לא נקטה בפעולה עד שכלי תקשורת פנו אליה. החברה אישרה כי תיקנה את הפרצה רק לאחר שהנושא הפך ציבורי, אך לא הסבירה כיצד היא התרחשה מלכתחילה או מדוע נכשלה בהגנה על תמונות רגישות של משתמשיה.

"אנחנו מעריכים את עבודתו [של החוקר] וכבר נקטנו בצעדים הדרושים לטיפול בבעיה," אמר דובר החברה. "עדכון נוסף לאפליקציות ישוחרר ב-App Store בימים הקרובים".
החברה טענה כי הורדה מסיבית של נתוני משתמשים על ידי גורם זדוני הייתה נראית לעין בשרתי החברה, וכי לא התגלתה פעילות כזו. עם זאת, אין ערובה לכך שהחוקר שגילה את הפרצה היה היחיד שמצא את מאגר התמונות החשוף.

מה שמדאיג אף יותר הוא שמחקר רחב יותר של Cybernews מצא כי פרצות אבטחה מסוג זה עשויות להיות נפוצות באופן מפתיע בחנות האפליקציות של אפל. החוקרים בדקו 156,000 אפליקציות iOS – כ-8% מהאפליקציות בחנות – וגילו כי לרובן יש בעיות אבטחה דומות.

מבין האפליקציות שנבדקו, 7.1% הדליפו לפחות נתון "סודי" אחד, כאשר אפליקציה ממוצעת חשפה 5.2 נתונים כאלה.
לקחים מפרצות העבר
אירוע זה מזכיר את פרצת האבטחה המפורסמת משנת 2015, כאשר האקרים גנבו כמות גדולה של מידע על משתמשי Ashley Madison, אתר היכרויות לאנשים נשואים המחפשים רומנים מחוץ לנישואים. באותו מקרה, הדליפה הובילה לסחיטת משתמשים, התאבדויות, ופגיעה חמורה בחיי משפחות רבות.

מומחי אבטחה ממליצים למשתמשי אפליקציות היכרויות לנקוט באמצעי זהירות:

הימנעו מצילום פנים ותמונות אינטימיות באותה תמונה
אל תשלחו תמונות שעלולות לפגוע בכם אם ייחשפו
בדקו את מדיניות האבטחה והפרטיות של האפליקציות בהן אתם משתמשים
השתמשו באפליקציות מחברות מוכרות עם מוניטין בתחום האבטחה
RetryClaude can make mistakes. Please double-check responses. 3.7 Sonnet