Aplikacija za razmjenu poruka Tokee procurila je profile 1,2 milijuna korisnika u izloženoj bazi podataka

Što je zapravo otkrilo curenje baze podataka Tokee

Istraživači sigurnosti nedavno su otkrili nezaštićenu bazu podataka koja pripada aplikaciji Tokee, aplikaciji za video i tekstualnu komunikaciju, koja je bila izložena i dostupna bez ikakve autentifikacije. Baza podataka sadržavala je zapise za otprilike 1,2 milijuna korisnika, uključujući puna imena, telefonske brojeve i tokene uređaja. Ta posljednja kategorija zaslužuje posebnu pažnju: tokeni uređaja jedinstveni su identifikatori vezani uz određeni telefon ili tablet, a mogu se koristiti za otisak prsta uređaja u različitim uslugama, slanje neovlaštenih push obavijesti ili praćenje obrazaca aktivnosti korisnika kroz vrijeme.

Ovo nije bio sofisticirani napad. Nikakav napadač nije morao probijati vatrozide niti iskorištavati složene ranjivosti. Baza podataka je jednostavno bila ostavljena otvorena, što znači da je svaki tko je znao gdje tražiti mogao pristupiti podacima i kopirati ih. Je li to učinila neka neovlaštena strana prije nego što su istraživači pronašli i prijavili izloženost, nije javno potvrđeno — a to je upravo problem s ovakvom vrstom incidenta.

Razmjeri izloženosti svrstavaju ovaj slučaj čvrsto u kategoriju ozbiljnih incidenata narušavanja privatnosti. Telefonski brojevi posebno su vrijedne mete jer se koriste za dvofaktorsku autentifikaciju, napade zamjene SIM kartice i ciljane phishing kampanje putem SMS-a.

Zašto samo enkripcija ne štiti korisnike aplikacija za razmjenu poruka

Uobičajena je pretpostavka korisnika koji vode računa o privatnosti da odabir aplikacije za razmjenu poruka s enkripcijom s kraja na kraj rješava većinu njihovih problema s izloženošću podataka. Incident s Tokeejem ilustrira točno zašto je ta pretpostavka nepotpuna.

Enkripcija s kraja na kraj štiti sadržaj poruka dok putuju između pošiljatelja i primatelja. Ne štiti metapodatke koje platforme za razmjenu poruka prikupljaju i pohranjuju na vlastitim poslužiteljima: tko ste, koji uređaj koristite, s kojim telefonskim brojem ste se registrirali i koliko često koristite aplikaciju. Svi ti podaci nalaze se u bazama podataka kojima upravlja davatelj aplikacije, i ako su te baze podataka pogrešno konfigurirane ili nedovoljno zaštićene, nikakva količina enkripcije poruka ne može spriječiti njihovo curenje.

Ovo je ista strukturna ranjivost koja otežava potpuno povjerenje čak i platformama usmjerenima na privatnost. Sadržaj poruke možda je nečitljiv, ali okolni podaci sami po sebi govore svoju priču. Dok EU raspravlja o zakonodavstvu o obveznom nadzoru poruka, argument da je prikupljanje metapodataka inherentno manje osjetljivo od sadržaja poruka sve je teže braniti.

Curenje podataka Tokeea konkretan je primjer onoga što se događa kada se s tim metapodacima ne postupa s istom pažnjom kao sa samim sadržajem poruka.

Kako VPN-ovi smanjuju vaš otisak metapodataka na poslužiteljima aplikacija

Kada se povežete na aplikaciju za razmjenu poruka bez VPN-a, poslužitelji aplikacije bilježe vašu stvarnu IP adresu zajedno s aktivnošću vašeg računa. Ta IP adresa može se koristiti za zaključivanje o vašoj približnoj lokaciji, vašem pružatelju internetskih usluga i u nekim slučajevima vašem identitetu. Ako su ti podaci na strani poslužitelja ikada izloženi u curenju poput Tokeejevog, ili predani na zahtjev vlasti, ili im pristupi akter prijetnje povezan s državom, vaša IP adresa postaje još jedan identifikacijski podatak vezan uz vaš račun.

VPN zamjenjuje vašu stvarnu IP adresu jednom koja pripada VPN poslužitelju, tako da se u zapisnicima poslužitelja aplikacije bilježi dijeljena adresa, a ne ona koja vas izravno identificira. To ne sprječava curenje, niti štiti telefonski broj ili token uređaja s kojim ste se registrirali. Međutim, smisleno smanjuje koliko se izloženi podaci mogu koristiti za lociranje ili identifikaciju vas.

Važnost ograničavanja otiska metapodataka postaje jasnija u visokorizičnim kontekstima. Sofisticirani napadi koje sponzoriraju države sve više ciljaju osobnu komunikacijsku infrastrukturu, a postavljanje VPN-a na vrh vaših aplikacija za razmjenu poruka dodaje pravu, ako i djelomičnu, prepreku. Slično tome, vrijedi zapamtiti da zlonamjerne aplikacije na vašem uređaju također mogu prikupljati podatke na razini sustava, kao što se vidjelo u slučajevima poput zlonamjernog softvera NoVoice koji je zarazio više od 2,3 milijuna Android uređaja putem Google Playa, što naglašava vrijednost smanjenja identifikacijskih podataka koje bilo koja pojedinačna aplikacija može prikupiti i pohraniti.

Što bi korisnici Tokeeja trebali učiniti odmah

Ako imate račun na Tokeeju, tretirajte svoj registrirani telefonski broj kao potencijalno kompromitiran. To znači da budete oprezni na neobične SMS poruke, posebno one koje vas traže da kliknete na poveznice ili potvrdite podatke o računu. Budite posebno oprezni s porukama koje tvrde da dolaze od banke, dostavne službe ili tehnološke tvrtke, budući da vaš telefonski broj sada može biti u optjecaju među onima koji prikupljaju procurele podatke.

Ako ste koristili isti telefonski broj za omogućavanje dvofaktorske autentifikacije na drugim računima, razmislite o prelasku tih računa na autentifikatorsku aplikaciju umjesto SMS-verificacije, budući da se telefonski brojevi izloženi u curenjima često koriste u shemama zamjene SIM kartice osmišljenim za preuzimanje računa.

Šire gledano, ovo curenje korisna je podsjetnica za provjeru koje aplikacije imaju pristup vašem telefonskom broju te za pregled dozvola dodijeljenih aplikacijama za razmjenu poruka na vašem uređaju. Ograničavanje podataka koje aplikacije mogu prikupljati od samog početka trajniji je oblik zaštite od nade da svaka platforma ispravno osigurava svoje baze podataka.

Konačno, dosljedna upotreba VPN-a tijekom korištenja aplikacija za razmjenu poruka dodaje sloj zaštite koji funkcionira neovisno o sigurnosnim praksama koje sama aplikacija slijedi. Ne možete kontrolirati kako Tokee ili bilo koja druga platforma upravlja svojom pozadinskom infrastrukturom, ali možete kontrolirati koliko identifikacijskih informacija uopće dospijeva do tih poslužitelja.

Izloženost Tokeea podsjetnik je da privatnost na platformama za razmjenu poruka nije samo funkcija enkripcije ugrađene u samu aplikaciju. Ovisi i o tome kako platforma rukuje podacima koji okružuju vašu komunikaciju — a taj dio jednadžbe potpuno je izvan vaše kontrole čim ga jednom predate. Izgradnja navika koje minimiziraju to predavanje najpraktičnija je dostupna obrana za svakodnevne korisnike.