Kolluk kuvvetlerinin biraz sorun yaratmasına yardımcı olmak için tasarlanmış bir uygulama olan SweepWizard’ın, istemeden yıllarca kapsamlı verileri sızdırdığı tespit edildi.
Görünüşe göre ODIN Intelligence tarafından oluşturulan ve 60’tan fazla kolluk kuvvetleri tarafından kullanılan belirsiz bir uygulama olan SweepWizard’ın bir kusuru var: Etik bir bilgisayar korsanına göre, uygulamanın API’sindeki (uygulama programlama arayüzü) yanlış bir yapılandırma, uygulamanın istemeden açık internete sızmasına neden oldu. Bunlara karışan polisler ve tarama sırasında birçoğu çocuk olan şüpheliler hakkında ayrıntılar da dahil olmak üzere, polisin tarama operasyonlarına ilişkin çok hassas veriler hazinesi. Bu verileri görüntülemek için meşru bir hesaba veya erişime değil, tek bir özel URL’ye ihtiyaç vardır.
Wired, SweepWizard’ın ciddi kusurunu ilk ortaya çıkaran kişi oldu. Rapor, yanlış ellere geçtiğinde, verilerin potansiyel şüphelilere ne zaman ve nerede basılacakları konusunda ipucu verebileceğini söylüyordu – bu, kolluk kuvvetlerinin olmasını istemediği bir şeydi.
Veriler, şüphelilerin evlerinin coğrafi koordinatlarını içeriyordu; baskın zamanı; şüphelilerin Sosyal Güvenlik numaraları; bireylerin demografik bilgileri (boyu, kilosu, göz rengi ve evsiz olup olmadığı); ve operasyonlara katılan polis memurlarının isimleri, telefon numaraları ve e-posta adresleri. 5 bin 770 şüpheliden, yüzlerce polisten ve 200 civarında operasyondan bahsediyoruz.
SweepWizard’ın 1. sürümü 2016’dan beri Apple App Store’dan indirilebilse de, arşivlenmiş bilgilere göre Wired, tarama verilerine 2011 yılına kadar erişebiliyordu. aynı yıl.
Malwarebytes Labs ayrıca uygulamanın ses kaydı ve resim yükleme ve kırpma gibi medya özelliklerini gösteren arşivlenmiş bilgiler de buldu. Ancak, herhangi bir medya verisinin halka ifşa edilip edilmediği net değil.
App Store’daki sayfasının bir arşivinden alınan SweepWizard’ın uygulama sürümü geçmişinin ekran görüntüsü. Bu, uygulamanın potansiyel olarak topladığı ve depoladığı veriler hakkında bize ipucu vererek, uygulamanın özelliklerinin bir anlık görüntüsünü verir. (Kaynak: Malwarebytes)
Wired’ın raporundan bu yana, SweepWizard kullanan bazı departmanlar kapsamlı bir araştırma tamamlanana kadar kullanımını askıya aldı.
Los Angeles Polis Departmanı’nın (LAPD) Medya İlişkileri Bölümü’nden Yüzbaşı Kelly Muniz yaptığı açıklamada şunları söyledi:
“[T]Departman, şu anda belirsiz olan bilgilerin yetkisiz olarak açıklanmasının kaynağını belirlemek için federal kolluk kuvvetleriyle birlikte çalışıyor. Soruşturmanın bu noktasında, izinsiz yayının kaynağının üçüncü kişi uygulama veya başka bir araç olup olmadığı tespit edilememiştir.”
ODIN Intelligence’ın CEO’su ve kurucusu Erik McCauley, Wired’e şunları söyledi:
“ODIN İstihbarat A.Ş. güvenliği çok ciddiye alıyor. Bu iddiaları kapsamlı bir şekilde araştırdık ve araştırıyoruz. Şimdiye kadar, iddia edilen güvenlik açığını herhangi bir ODIN sisteminde yeniden üretemedik. ODIN veya SweepWizard’ın tehlikeye girdiğine dair herhangi bir kanıt güvenlik oluştu, uygun eylemi yapacağız.”
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.