פרצה ב-Drupe הישראלית גרמה לחשיפת מידע של עשרות אלפים

פגיעות שהתגלתה באפליקציית Drupe הישראלית, שזכתה לפופולריות רבה ולעשרות מיליוני הורדות, גרמה לחשיפת תמונות, הודעות אודיו ומידע רגיש אחר של עשרות אלפי משתמשים באפליקציה, אם לא יותר.

האפליקציה הייחודית, המאפשרת לקשר בקלות בין אנשי קשר לאפליקציות קישוריות במסך אחד, זכתה בעבר להיכלל ברשימת "בחירת העורכים" ב-Google Play, אבל מתברר שבמקביל חלק מנתוני המשתמשים נשמרו ללא הגנה וללא אימות בשרתים ב-AWS. הגישה לשטח האחסון הזו הייתה למעשה פנויה לכל דיכפין, וכל מי שידע לאן להסתכל היה יכול כאמור לעיל להוריד כמויות גדלות של מידע אישי של משתמשים.

את התקלה חשף חוקר האבטחה סימונה מרגריטלי שצייץ בטוויטר (Twitter), תחילה בלי לספר באיזו אפליקציה מסופר, "שכמות המידע שהושאר באופן מקוון וחשוף היא מטורפת".

לאחר החשיפה, וללא הודעה רשמית, מסרו כמה וכמה משתמשים כי האפליקציה נחסמה להורדה בחנות אפליקציות של גוגל (Google).

מתה או חיה? זאת השאלה

החברה אישרה את התקלה בפוסט שהעלתה לבלוג הרשמי שלה, אליו גם צירפה הפניה בולטת מעמוד הבית באתר הרשמי של האפליקציה.

"פגיעות זו השפיעה על הודעות שנשלחו באמצעות תכונת ה-'ווקי טוקי' של האפליקציה, או על תמונות שנשלחו באמצעו תכונת שיתוף התמונות במהלך שיחה המבוצעת באמצעות תשתית הידיעות המיידיות המיוחדת של Drupe, תכונות שנמצאו בשימוש בידי פחות מ-3% מכלל המשתמשים. לבדיקתנו היא לא השפיעה על תכונות או משתמשים אחרים", הודיעה החברה לאחר שנחשפה הבעיה.

החברה אף הודיעה שהיא חסמה מיד את הגישה לתכונת הווקי טוקי ולתמונות השמורות בשרתיה, וכן שלאחר כשעה של עבודה היא מצאה את הפגיעות ותיקנה את הבאג שגרם לה.

"אנחנו חוקרים את התקרית ונוקטים אמצעים נוספים כולל בנייה מחדש של כמה מההיבטים בארכיטקטורת השרתים שלנו וכדי למנוע מתקריות כאלה להתרחש שוב", היא מסרה.

נכון לשעות אלו האפליקציה כבר פתוחה שוב להורדה ולהתקנה מ-Google Play.

מהחברה נמסר כי "Drupe לא משתפת בשום צורה שהיא מידע אישי של המשתמש עם חברות צד שלישי למטרות מסחר כלשהן. המודל העסקי של Drupe מבוסס אך ורק על רכישות בתוך האפליקציה ופרסומות. כך תמיד היה. כל בקשה ואישור של הרשאה מתבצעת רק בהקשר המתאים, כאשר המשתמש בוחר להפעיל תכונה מסוימת, והמשתמש יכול לשנות את ההרשאות שנתן בכל עת".