- В популярном в США приложении Neon Mobile обнаружена серьезная уязвимость, позволяющая получать доступ к чужим звонкам, их расшифровкам и номерам телефонов пользователей.
- Журналисты TechCrunch выявили, что серверы Neon не блокировали доступ к данным других пользователей, что создавало угрозу массового раскрытия персональной информации.
- После уведомления об инциденте разработчик временно отключил приложение для повышения безопасности, но планы по его восстановлению остаются неизвестными.
Neon Mobile — приложение, которое предлагает пользователям заработок за запись телефонных разговоров и передачу данных искусственному интеллекту, столкнулось с серьезной проблемой безопасности. Независимые эксперты из TechCrunch выявили в системе уязвимость, позволяющую злоумышленникам получить доступ к аудиозаписям, текстовым расшифровкам и личным номерам пользователей, что ставит под угрозу конфиденциальность миллионов данных.
В ходе проверки журналисты создали новую учетную запись, подтвердили номер телефона и при помощи сетевого анализатора Burp Suite проанализировали трафик приложения. Это позволило выявить, что серверы Neon Mobile не ограничивали доступ пользователей исключительно к их личным данным. В результате любой, имея ссылку, мог прослушивать аудиофайлы и читать транскрипты звонков других пользователей. Помимо самих разговоров, уязвимость давала возможность получить метаданные: номера телефонов собеседников, показатели длительности и времени звонков, а также информацию о доходах, полученных пользователем.
Дополнительным тревожным фактом стало предположение, что некоторые участники сервиса могут злоупотреблять возможностями приложения, записывая скрытно реальные разговоры с другими людьми, мотивируя это возможностью заработка.
После сообщения о найденной уязвимости основатель Neon Mobile Алекс Киам оперативно принял решение приостановить работу сервиса. В официальном заявлении разработчик подчеркнул, что защита конфиденциальности пользователей является главным приоритетом, и временная остановка потребуется для усиления механизмов безопасности. Однако информация о проведении предварительной проверки безопасности и деталях инцидента отсутствует, как и подтверждение наличия у компании технических средств для отслеживания фактов несанкционированного доступа.
Запущенное всего неделю назад, приложение быстро набрало популярность и вошло в пятерку самых скачиваемых бесплатных программ для iOS, будучи установлено десятками тысяч пользователей. Neon Mobile предлагало до $30 в день за предоставление своих разговоров и данных. Пока неизвестно, будет ли приложение возвращено в работу после устранения уязвимостей и каких изменений следует ожидать.
Данный инцидент служит напоминанием о важности строгих мер информационной безопасности, особенно для сервисов, работающих с персональными данными и аудиозаписями, подчёркивая необходимость тщательной проверки и защиты пользователей с самого начала запуска продукта.
