Ett allvarligt säkerhetsbrist i ett halvdussin populära mobilappar har potentiellt läckt personliga och känsliga uppgifter från miljontals onlineanvändare.
Forskaren Mikail Tunç upptäckte i slutet av december 2021 att flera mobilapplikationer på Android och iOS har felkonfigurerat identitetsverifieringstjänster. Specifikt följde de inte bästa praxis, som rekommenderas av tjänsteleverantören Onfido.
Istället för att ha en API-token på back-end, höll de den exponerad på front-end, vilket kan leda till en biometrisk dataläcka. Om någon hade hittat felet innan Tunç, kunde de ha erhållit personligt identifierbar data som identifieringshandlingar, pass eller körkort, e-postmeddelanden, fullständiga namn eller fysiska adresser, vilket utsätter användare för en potentiell risk för identitetsstöld. Dessutom kan en angripare ha skaffat selfievideor, som kräver många tjänster för identitetsverifiering.
Miljontals potentiella offer
Förmodligen hittade ingen felet före Tunç, vilket innebär att data förblir säkra för tillfället, även om det är fallet eller inte återstår att se.
Dessa tokens har vanligtvis ett utgångsdatum, som en extra beredskapsåtgärd. Dessa särskilda tokens hade dock inget utgångsdatum, vilket gjorde hotet ännu större.
Enligt CyberNews, som först avslöjade nyheten, inkluderar de berörda apparna FxPro Direct App, en handelsplattform med över fem miljoner användare, Europcar, en hyrbil med över en miljon användare, Chip, en sparapp med nästan en halv miljon användare, du köper Hoolah-appen, Mode cryptocurrency-appen och Greenwheels bildelningstjänst.
CyberNews frågade Onfido om det övervakar om dess kunder följer en rekommendation att inte lämna API-token i gränssnittet, och företaget sa att det ger detaljerade tekniska råd till kunder om hur man implementerar Safe Onfido IDV-arbetsflödet.
"Som med andra företag inom liknande områden är det tekniskt mycket svårt att veta om en privat nyckel används på ett olämpligt sätt, över ett så brett utbud av arbetsflöden, vilket gör det svårt att upprätthålla det," sa Onfido och tillade att dess initiala undersökningar har visat att det inte finns några bevis för obehörig åtkomst till uppgifterna.
Alla dessa nummer kommer från Googles Play Butik. Apples App Store avslöjar inte ens nedladdningssiffror, men det är säkert att säga att dessa siffror åtminstone kan vara dubbla.
De som har använt någon av apparna som listas ovan och fruktar att bli attackerade av illvilliga aktörer bör vara mycket försiktiga med misstänkta meddelanden och inloggningsförfrågningar från främlingar, bör stärka sina lösenord och lägga till tvåfaktorsautentisering när det är möjligt.
De bör också se till att hålla sina enheter uppdaterade, köra en cybersäkerhetslösning och brandvägg om möjligt.
- Du kan också kolla in vår lista över de bästa VPN:erna just nu.