Kind met telefoon op schommel

App ‘Family Locator’ lekte wekenlang live locatiegegevens

Laatst bijgewerkt: 25 maart 2019
Leestijd: 1 minuut, 52 seconden

De populaire app Family Locator heeft enkele weken de live locatiegegevens van meer dan 238.000 gebruikers gelekt. Een medewerker van de GDI Foundation ontdekte dit lek en meldde het aan de tech-website TechCrunch die er verder mee aan de slag ging.

Realtime locatiegegevens Family Locator wekenlang vrij toegankelijk

Family Locator is een app van ontwikkelaar React Apps waarmee familieleden elkaars locatie live kunnen volgen. De beveiligingsonderzoeker ontdekte dat een onbeveiligde MongoDB database van buitenaf, zonder wachtwoord, toegankelijk was. Deze bevindingen meldde de onderzoeker aan de Tech website TechCrunch die op hun beurt een demo-account aanmaakten bij Family Locator. Vervolgens werd de database geraadpleegd en bleek de realtime locatie van de onderzoekers met exacte coördinaten in de database te verschijnen. Naast realtime locatiegegevens waren andere account gegevens, zoals username, e-mailadres, profielfoto en niet-versleutelde wachtwoorden, in te zien.

Ontwikkelaar React Apps niet bereikbaar

De onderzoekers wilden de ontwikkelaar van de Family Locator App op de hoogte stellen van het lek, maar kreeg deze met geen mogelijkheid te pakken. De WHOIS-records van de domeinnaam van React Apps waren geanonimiseerd. Op de website was als enige contactmogelijkheid een formulier beschikbaar waar niet op gereageerd werd. Uiteindelijk hebben de onderzoekers Microsoft benaderd. De onbeveiligde database stond namelijk gehost op de server van Microsoft Azure. Enkele uren na het contact met Microsoft was de onbeveiligde database offline.

Wachtwoorden in plain-text opgeslagen

Bij dit lek van Family Locator zijn een drietal feiten erg stuitend. Allereerst is het onbeveiligd beschikbaar stellen van een database met privacy gevoelige gegevens een basale beveiligingsfout die niet goed te praten is. Daarnaast bleken de wachtwoorden zonder enige vorm van encryptie opgeslagen te worden. Het niet versleuteld opslaan van wachtwoorden wordt in Europa als een schending van de AVG gezien. Zo werd vorige jaar een Duits bedrijf beboet vanwege het niet versleuteld opslaan van wachtwoorden. Ten derde is het onbegrijpelijk dat een bedrijf dat omgaat met zeer privacy gevoelige gegevens niet bereikbaar blijkt te zijn bij vragen of problemen. De Family Locator app wordt door veel families gebruikt om te kunnen zien waar kinderen zijn. Het zeer slecht tot niet bereikbaar zijn van de ontwikkelaar zou tot problemen kunnen leiden bij bijvoorbeeld een vermist kind. Ook dit lek benadrukt opnieuw de noodzaak van het gebruik van unieke wachtwoorden.

Hoofdauteur:

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen

Op zoek naar een VPN?

Bekijk ons overzicht met de meest betrouwbare, snelle en veilige VPN-services.
Uitgebreid getest door experts.

Bekijk welke VPN het beste bij je past