Pelacak kesuburan Cahaya memperbaiki bug yang mengungkap data pribadi pengguna

Sebuah bug di forum online untuk aplikasi pelacakan kesuburan Glow mengungkap data pribadi sekitar 25 juta pengguna, menurut seorang peneliti keamanan.

Bug tersebut mengungkap nama depan dan belakang pengguna, kelompok usia yang dilaporkan sendiri (seperti anak-anak berusia 13-18 tahun dan orang dewasa berusia 19-25 tahun, serta berusia 26 tahun ke atas), lokasi yang dijelaskan sendiri oleh pengguna, dan pengenal pengguna unik aplikasi ( dalam platform perangkat lunak Glow), dan gambar apa pun yang diunggah pengguna, seperti foto profil.

Peneliti keamanan Ovi Liber mengatakan kepada TechCrunch bahwa dia menemukan data pengguna bocor dari API pengembang Glow. Liber melaporkan bug tersebut ke Glow pada bulan Oktober, dan mengatakan Glow memperbaiki kebocoran tersebut sekitar seminggu kemudian.

API memungkinkan dua atau lebih sistem yang terhubung ke internet untuk berkomunikasi satu sama lain, seperti aplikasi pengguna dan server backend aplikasi. API dapat bersifat publik, namun perusahaan dengan data sensitif biasanya membatasi akses kepada karyawannya sendiri atau pengembang pihak ketiga yang tepercaya.

Liber, bagaimanapun, mengatakan bahwa API Glow dapat diakses oleh siapa saja, karena dia bukan pengembang.

Perwakilan Glow yang tidak disebutkan namanya mengonfirmasi kepada TechCrunch bahwa bug tersebut telah diperbaiki, tetapi Glow menolak untuk membahas bug tersebut dan dampaknya terhadap catatan atau memberikan nama perwakilan tersebut. Oleh karena itu, TechCrunch tidak mencetak respons Glow.

Dalam postingan blog yang diterbitkan pada hari Senin, Liber menulis bahwa kerentanan yang dia temukan memengaruhi 25 juta pengguna Glow. Liber mengatakan kepada TechCrunch bahwa mengakses datanya relatif mudah.

“Saya pada dasarnya menghubungkan perangkat Android saya [network analysis tool] Bersendawa dan melihat-lihat forum dan melihat panggilan API mengembalikan data pengguna. Di situlah saya menemukan IDOR,” kata Liber, mengacu pada jenis kerentanan di mana server tidak memiliki pemeriksaan yang tepat untuk memastikan akses hanya diberikan kepada pengguna atau pengembang yang berwenang. “Di mana mereka mengatakan itu seharusnya hanya tersedia untuk pengembang saja, [it’s] tidak benar, ini adalah titik akhir API publik yang mengembalikan data untuk setiap pengguna — hanya saja penyerang perlu mengetahui bagaimana panggilan API dilakukan.”

Meskipun data yang bocor mungkin tidak terlalu sensitif, pakar keamanan digital yakin pengguna Glow berhak mengetahui bahwa informasi ini dapat diakses.

“Saya pikir ini adalah masalah yang cukup besar,” Eva Galperin, direktur keamanan siber di lembaga nirlaba hak digital Electronic Frontier Foundation, mengatakan kepada TechCrunch, merujuk pada penelitian Liber. “Bahkan tanpa mempertanyakan apa yang bisa dan tidak [private identifiable information] di bawah rezim hukum mana, orang-orang yang menggunakan Glow mungkin secara serius mempertimbangkan kembali penggunaannya jika mereka tahu bahwa mereka membocorkan data tentang mereka.”

Cahaya, yang diluncurkan pada tahun 2013, menggambarkan dirinya sendiri sebagai “aplikasi pelacak menstruasi dan kesuburan terlengkap di dunia”, yang dapat digunakan orang untuk melacak “siklus menstruasi, ovulasi, dan tanda kesuburan, semuanya di satu tempat.”

Pada tahun 2016, Consumer Reports menemukan bahwa ada kemungkinan untuk mengakses data dan komentar pengguna Glow tentang kehidupan seks mereka, riwayat keguguran, aborsi, dan banyak lagi, karena celah privasi terkait dengan cara aplikasi mengizinkan pasangan untuk menautkan akun mereka dan berbagi data. . Pada tahun 2020, Glow setuju untuk membayar denda sebesar $250.000 setelah penyelidikan yang dilakukan oleh Jaksa Agung Kalifornia, yang menuduh perusahaan tersebut gagal “melindungi secara memadai [users’] informasi kesehatan,” dan “mengizinkan akses ke informasi pengguna tanpa persetujuan pengguna.”