Una grave falla di sicurezza in una mezza dozzina di popolari app mobili ha potenzialmente fatto trapelare i dati personali e sensibili di milioni di utenti online.
Il ricercatore Mikail Tunç ha scoperto alla fine di dicembre 2021 che diverse applicazioni mobili su Android e iOS avevano servizi di verifica dell'identità configurati in modo errato. Nello specifico, non hanno seguito le migliori pratiche, come raccomandato dal fornitore di servizi Onfido.
Invece di mantenere un token API nel back-end, lo hanno mantenuto esposto nel front-end, il che potrebbe portare a una fuga di dati biometrici. Se qualcuno avesse scoperto il difetto prima di Tunç, avrebbe potuto ottenere dati personali come documenti di identità, passaporti o patenti di guida, e-mail, nomi completi o indirizzi fisici, esponendo gli utenti a un potenziale rischio di furto di identità. Inoltre, un utente malintenzionato potrebbe ottenere video selfie, che richiedono molti servizi di verifica dell’identità.
Milioni di potenziali vittime
Presumibilmente nessuno ha scoperto il difetto prima di Tunç, il che significa che per ora i dati rimangono al sicuro, anche se resta da vedere se sarà così o meno.
Questi token di solito hanno una data di scadenza, come misura di contingenza aggiuntiva. Tuttavia, questi particolari token non avevano una data di scadenza, il che rendeva la minaccia ancora maggiore.
Secondo CyberNews, che per prima ha rivelato la notizia, le app interessate includono FxPro Direct App, una piattaforma di trading con oltre cinque milioni di utenti, Europcar, un'auto a noleggio con oltre un milione di utenti, Chip, un'app di risparmio con quasi mezzo milione di utenti, acquisti l'app Hoolah, l'app di criptovaluta Mode e il servizio di car sharing Greenwheels.
CyberNews ha chiesto a Onfido se controlla se i suoi clienti seguono la raccomandazione di non lasciare il token API nell'interfaccia e la società ha affermato di fornire consulenza tecnica dettagliata ai clienti su come implementare il flusso di lavoro Safe Onfido IDV.
"Come per altre aziende in campi simili, è tecnicamente molto difficile sapere se una chiave privata viene utilizzata in modo inappropriato, in una gamma così ampia di flussi di lavoro, rendendone difficile l'applicazione", ha affermato Onfido, aggiungendo che le sue indagini iniziali hanno dimostrato che non vi siano prove di accesso non autorizzato ai dati.
Tutti questi numeri provengono dal Play Store di Google. L'App Store di Apple non rivela nemmeno i numeri di download, ma è sicuro dire che questi numeri potrebbero, come minimo, essere il doppio.
Coloro che hanno utilizzato una delle app sopra elencate e temono di essere attaccati da malintenzionati dovrebbero prestare molta attenzione ai messaggi sospetti e alle richieste di accesso da parte di estranei, dovrebbero rafforzare le proprie password e aggiungere l'autenticazione a due fattori quando possibile.
Dovrebbero anche assicurarsi di mantenere aggiornati i propri dispositivi, eseguendo, se possibile, una soluzione di sicurezza informatica e un firewall.
- Puoi anche consultare subito il nostro elenco delle migliori VPN.