Eine schwerwiegende Sicherheitslücke in einem halben Dutzend beliebter mobiler Apps hat möglicherweise dazu geführt, dass persönliche und sensible Daten von Millionen Online-Benutzern verloren gehen.
Der Forscher Mikail Tunç entdeckte Ende Dezember 2021, dass mehrere mobile Apps auf Android und iOS falsch konfigurierte Identitätsprüfungsdienste hatten. Insbesondere folgten sie nicht den Best Practices, wie sie vom Dienstleister Onfido empfohlen wurden.
Anstatt ein API-Token im Back-End aufzubewahren, wurde es im Front-End offengelegt, was zu einem Verlust biometrischer Daten führen könnte. Wenn jemand den Fehler vor Tunç entdeckt hätte, hätte er möglicherweise an persönlich identifizierbare Daten wie Ausweisdokumente, Reisepässe oder Führerscheine, E-Mails, vollständige Namen oder physische Adressen gelangen können, wodurch Benutzer einem potenziellen Risiko eines Identitätsdiebstahls ausgesetzt wären. Darüber hinaus könnte ein Angreifer Selfie-Videos erhalten haben, für die viele Identitätsprüfungsdienste erforderlich sind.
Millionen potenzieller Opfer
Angeblich hat vor Tunç niemand den Fehler entdeckt, was bedeutet, dass die Daten vorerst sicher bleiben, obwohl abzuwarten bleibt, ob dies der Fall ist oder nicht.
Als zusätzliche Notfallmaßnahme haben diese Token in der Regel ein Ablaufdatum. Allerdings hatten diese speziellen Token kein Ablaufdatum, was die Bedrohung noch größer machte.
Laut CyberNews, das die Nachricht zuerst verbreitete, gehören zu den betroffenen Apps FxPro Direct App, eine Handelsplattform mit mehr als fünf Millionen Nutzern, Europcar, ein Mietwagen mit mehr als einer Million Nutzern, Chip, eine Spar-App mit fast einer halben Million Nutzern Benutzer kaufen die Hoolah-App, die Mode-Kryptowährungs-App und den Carsharing-Dienst Greenwheels.
Onfido wurde von CyberNews gefragt, ob es überwacht, ob seine Kunden einer Empfehlung folgen, das API-Token nicht in der Schnittstelle zu belassen, und das Unternehmen gab an, dass es Kunden detaillierte technische Ratschläge zur Implementierung des Safe Onfido IDV-Workflows gibt.
„Wie bei anderen Unternehmen in ähnlichen Bereichen ist es technisch sehr schwierig zu wissen, ob ein privater Schlüssel in einem so breiten Spektrum von Arbeitsabläufen unangemessen verwendet wird, was die Einhaltung erschwert“, sagte Onfido und fügte hinzu, dass ihre ersten Untersuchungen ergeben hätten dass keine Anhaltspunkte für einen unbefugten Zugriff auf die Daten vorliegen.
Alle diese Zahlen stammen aus dem Play Store von Google. Der App Store von Apple gibt nicht einmal die Download-Zahlen bekannt, aber man kann mit Sicherheit sagen, dass diese Zahlen mindestens doppelt so hoch sein könnten.
Wer eine der oben aufgeführten Apps verwendet hat und Angst vor einem Angriff durch böswillige Akteure hat, sollte bei verdächtigen Nachrichten und Anmeldeanfragen von Fremden sehr vorsichtig sein, seine Passwörter stärken und nach Möglichkeit eine Zwei-Faktor-Authentifizierung hinzufügen.
Sie sollten außerdem darauf achten, ihre Geräte auf dem neuesten Stand zu halten und nach Möglichkeit eine Cybersicherheitslösung und eine Firewall zu betreiben.
- Sie können sich auch unsere Liste der derzeit besten VPNs ansehen.