‘Yelp voor conservatieven’ 63red Safe lekt gebruikersgegevens

Een nieuwe mobiele app die beschreven wordt als ‘Yelp voor conservatieven’, lekt volgens een Franse beveiligingsonderzoeker gebruikersgegevens en bedrijfsrecensies. De app, 63red Safe, werd dit weekend gelanceerd in de App Store en Play Store. 

63red Safe beschrijft zichzelf als een dienst waar gebruikers “recensies van lokale restaurants en bedrijven vanuit een conservatief perspectief” kunnen lezen, waardoor verzekerd moet worden “dat je veilig bent als je shopt of eet!”, meldt ZDNet.  De app werd gemaakt door Scott Wallace, na een aantal incidenten waar conservatieven gedwongen werden om weg te gaan of ‘Make America Great Again’-spullen af moesten doen als ze in een restaurant wilden eten of bij bedrijven binnen wilden komen.

Lek

Baptiste Robert, een Franse beveiligingsonderzoeker, lekt de app echter vrijwel al zijn data. De broncode van de app bevat volgens Robert de credentials van zijn auteur, maar ook een lijst met API endpoints waar het verbinding mee maakt om data op te slaan of op te halen. Die API gebruikt geen authenticatie, aldus Robert. Dat betekent dat iedereen naar de broncode kan kijken, de API endpoints kan krijgen en vervolgens data kan verzamelen van de server van de app.

Door deze techniek te gebruiken, kon de onderzoeker vaststellen dat sinds de lancering afgelopen weekend 4.466 gebruikers zich geregistreerd hadden en profielen hadden aangemaakt. Van ieder profiel was bovendien informatie te verzamelen als de gebruikersnaam, e-mailadres, avatar, het aantal volgers en iets wat een ‘hotscore’ genoemd wordt.

Andere API endpoints lieten Robert bovendien gebruikers blokkeren en de database logs aanpassen. Ongeautoriseerde indringingen waren daardoor te verbergen. ZDNet vroeg Robert of hij ook gebruikersrecensies van bepaalde restaurants of bedrijven kon aanpassen. “Dat heb ik niet getest, maar ik kon vrijwel alles doen”, reageerde Robert.

Andere app

Robert onderzocht de app omdat hij eerder een vergelijkbaar lek had gevonden in een andere mobiele app voor Amerikaanse conservatieven. “Een aantal maanden geleden analyseerde ik de Donald Daters-apps, drie uur nadat hij verschenen was. Ik dacht dat het leuk was om eenzelfde soort ‘Donald Trump’-gerelateerde app te analyseren.”

Overigens heeft Robert het bedrijf achter de app niet op de hoogte gesteld van zijn bevindingen, die hij openbaar op Twitter deelde. “Laten we zeggen dat ik niet echt van Trump-fans houdt”, geeft hij als verklaring. ZDNet heeft wel contact opgenomen met het bedrijf en de oprichter, zodat het bedrijf actie kan ondernemen en zijn app kan updaten om de data van gebruikers te beschermen.

“We nemen dit erg serieus en hebben al actie ondernomen om onze data extra te beschermen”, aldus een woordvoerder. “De veiligheid van onze gebruikers en conservatieven in het algemeen is onze grootste zorg, en we zullen onze systemen op iedere mogelijke manier blijven verbeteren om hun veiligheid te garanderen.” Het bedrijf stelt verder dat Robert nooit in staat is geweest om data aan te passen om de servers.