يعمل متتبع الخصوبة Glow على إصلاح الخلل الذي كشف البيانات الشخصية للمستخدمين

كشف خلل في المنتدى عبر الإنترنت لتطبيق تتبع الخصوبة Glow عن البيانات الشخصية لحوالي 25 مليون مستخدم، وفقًا لباحث أمني.

كشف الخطأ عن الأسماء الأولى والأخيرة للمستخدمين، والفئة العمرية التي أبلغوا عنها ذاتيًا (مثل الأطفال الذين تتراوح أعمارهم بين 13 و18 عامًا والبالغين الذين تتراوح أعمارهم بين 19 و25 عامًا، والذين تتراوح أعمارهم بين 26 عامًا وما فوق)، والموقع الذي وصفه المستخدم ذاتيًا، ومعرف المستخدم الفريد للتطبيق ( داخل النظام الأساسي لبرنامج Glow)، وأي صور تم تحميلها بواسطة المستخدم، مثل صور الملف الشخصي.

أخبر الباحث الأمني ​​Ovi Liber موقع TechCrunch أنه وجد بيانات مستخدم تتسرب من واجهة برمجة تطبيقات مطور Glow. أبلغت Liber عن الخلل إلى Glow في أكتوبر، وقالت إن Glow أصلحت التسرب بعد حوالي أسبوع.

تتيح واجهة برمجة التطبيقات (API) لنظامين أو أكثر متصلين بالإنترنت التواصل مع بعضهم البعض، مثل تطبيق المستخدم وخوادم الواجهة الخلفية للتطبيق. يمكن أن تكون واجهات برمجة التطبيقات عامة، لكن الشركات التي لديها بيانات حساسة عادة ما تقيد الوصول إلى موظفيها أو مطوري الطرف الثالث الموثوق بهم.

ومع ذلك، قال Liber إن واجهة برمجة تطبيقات Glow كانت في متناول أي شخص، لأنه ليس مطورًا.

أكد ممثل Glow لم يذكر اسمه لـ TechCrunch أنه تم إصلاح الخطأ، لكن Glow رفض مناقشة الخطأ وتأثيره على السجل أو تقديم اسم الممثل. على هذا النحو، لا يقوم TechCrunch بطباعة استجابة Glow.

وفي منشور على مدونة نُشر يوم الاثنين، كتب Liber أن الثغرة الأمنية التي اكتشفها أثرت على جميع مستخدمي Glow البالغ عددهم 25 مليونًا. أخبر Liber موقع TechCrunch أن الوصول إلى البيانات كان سهلاً نسبيًا.

“لقد قمت في الأساس بتوصيل جهاز Android الخاص بي [network analysis tool] تجشؤ وتجول في المنتدى ورأى أن استدعاء واجهة برمجة التطبيقات (API) يعيد بيانات المستخدم. “هذا هو المكان الذي وجدت فيه IDOR،” قال Liber، في إشارة إلى نوع من الثغرات الأمنية حيث يفتقر الخادم إلى الفحوصات المناسبة لضمان منح الوصول فقط للمستخدمين أو المطورين المعتمدين. “حيث يقولون أنه يجب أن يكون متاحًا للمطورين فقط، [it’s] هذا غير صحيح، إنها نقطة نهاية عامة لواجهة برمجة التطبيقات (API) تقوم بإرجاع البيانات لكل مستخدم – ببساطة يحتاج المهاجم إلى معرفة كيفية إجراء استدعاء واجهة برمجة التطبيقات.

في حين أن البيانات المتسربة قد لا تبدو حساسة للغاية، إلا أن أحد خبراء الأمن الرقمي يعتقد أن مستخدمي Glow يستحقون معرفة أن هذه المعلومات يمكن الوصول إليها.

وقالت إيفا جالبيرين، مديرة الأمن السيبراني في مؤسسة Electronic Frontier Foundation غير الربحية المعنية بالحقوق الرقمية، لـ TechCrunch، في إشارة إلى بحث Liber: “أعتقد أن هذه صفقة كبيرة جدًا”. “حتى من دون الخوض في مسألة ما هو كائن وما ليس كذلك [private identifiable information] وبموجب أي نظام قانوني، قد يعيد الأشخاص الذين يستخدمون Glow النظر بجدية في استخدامهم إذا علموا أنه سرب هذه البيانات عنهم.

يصف Glow، الذي تم إطلاقه في عام 2013، نفسه بأنه “التطبيق الأكثر شمولاً لتتبع الدورة الشهرية والخصوبة في العالم”، والذي يمكن للأشخاص استخدامه لتتبع “الدورة الشهرية، والإباضة، وعلامات الخصوبة، كل ذلك في مكان واحد”.

في عام 2016، وجدت تقارير المستهلك أنه كان من الممكن الوصول إلى بيانات مستخدم Glow وتعليقاته حول حياتهم الجنسية وتاريخ الإجهاض والإجهاض والمزيد، بسبب ثغرة في الخصوصية تتعلق بالطريقة التي يسمح بها التطبيق للأزواج بربط حساباتهم ومشاركة البيانات. . وفي عام 2020، وافقت Glow على دفع غرامة قدرها 250 ألف دولار بعد تحقيق أجراه المدعي العام في كاليفورنيا، والذي اتهم الشركة بالفشل في “توفير الحماية الكافية”. [users’] المعلومات الصحية”، و”السماح بالوصول إلى معلومات المستخدم دون موافقة المستخدم”.