Исследователи обнаружили, что почти 1,5 миллиона фотографий из специализированных приложений для знакомств, многие из которых являются откровенными, хранятся в Интернете без защиты паролем, что делает их уязвимыми для хакеров и вымогателей.

Любой, у кого была ссылка, мог просмотреть личные фотографии с пяти платформ, разработанных M.A.D Mobile: извращенных сайтов BDSM People и Chica, а также ЛГБТ-приложений Pink, Brish и Translove.

По оценкам, этими услугами пользуются от 800 000 до 900 000 человек.

M.A.D Mobile была впервые предупреждена о недостатке безопасности 20 января, но не предпринимала никаких действий до тех пор, пока BBC не отправила электронное письмо в пятницу.

С тех пор они исправили это, но не сказали, как это произошло или почему они не смогли защитить чувствительные изображения.

Этичный хакер Арас Назаровас из Cybernews впервые предупредил фирму о дыре в безопасности после того, как обнаружил местоположение онлайн-хранилища, используемого приложениями, проанализировав код, на котором работают сервисы.

Он был шокирован тем, что мог получить доступ к незашифрованным и незащищенным фотографиям без пароля.

«Первым приложением, которое я исследовал, было BDSM People, и первым изображением в папке был обнаженный мужчина лет тридцати», — сказал он.

«Как только я увидел это, я понял, что эта папка не должна была быть общедоступной».

По его словам, изображения не ограничивались изображениями из профилей — среди них были фотографии, которые были отправлены в личных сообщениях, и даже те, которые были удалены модераторами.

Г-н Назаровас сказал, что обнаружение незащищенных конфиденциальных материалов сопряжено со значительным риском для пользователей платформ.

Злонамеренные хакеры могли найти изображения и вымогать деньги у людей.

Также существует риск для тех, кто живет в странах, враждебных к ЛГБТ.

Не было обнаружено, что текстовое содержимое личных сообщений хранится таким образом, а изображения не помечены именами пользователей или реальными именами, что усложняет разработку целевых атак на пользователей.

В электронном письме M.A.D Mobile заявила, что благодарна исследователю за обнаружение уязвимости в приложениях, чтобы предотвратить утечку данных.

Но нет никакой гарантии, что г-н Назаровас был единственным хакером, который нашел тайник с изображением.

«Мы ценим их работу и уже предприняли необходимые шаги для решения проблемы», — сказал представитель M.A.D Mobile. «Дополнительное обновление для приложений будет выпущено в App Store в ближайшие дни».

Компания не ответила на дальнейшие вопросы о том, где базируется компания и почему потребовались месяцы для решения этой проблемы после многочисленных предупреждений от исследователей.

Обычно исследователи безопасности ждут, пока уязвимость будет устранена, прежде чем публиковать онлайн-отчет, на случай, если она подвергает пользователей дополнительному риску атаки.

Но г-н Назаровас и его команда решили поднять тревогу в четверг, пока проблема все еще существовала, поскольку они были обеспокоены тем, что компания ничего не делает для ее устранения.

«Это всегда трудное решение, но мы думаем, что общественность должна знать, как защитить себя», — сказал он.

В 2015 году злоумышленники похитили большое количество данных о клиентах Ashley Madison, сайта знакомств для женатых людей, желающих изменить своему супругу.