流行的家长控制应用 KidSecurity 泄露了 活动日志。攻击者可以获取数百万用户的个人数据。

KidSecurity 在 Google Play 上的下载量超过一百万次，为家长提供了跟踪孩子位置、收听设备中的音频以及设置设备使用限制的工具。

9 月 16 日，研究人员发现该应用程序未配置 Elasticsearch 和 Logstash 存储的身份验证，这些存储通常用于分析日志和事件数据。由于此错误，用户活动日志在互联网上公开保留了一个多月。

据估计，此次泄露影响了超过 3 亿条记录，其中包括 21,000 个电话号码和 31,000 个电子邮件地址。此外，有关支付卡的信息也被部分披露，包括号码的前六位和后四位数字、卡到期日期和发卡行。

此外，有迹象表明攻击者已经利用了该漏洞。应用程序服务器受到 Readme 僵尸网络的攻击，该僵尸网络经常在受感染的系统上留下勒索软件文件。尽管目前还没有关于这一特定事件的勒索数据。

将电子邮件地址、电话号码和付款信息等敏感数据暴露给儿童跟踪应用程序会构成严重威胁。在犯罪分子手中，这些信息可用于身份盗窃、欺诈和未经授权的金融交易，使儿童及其家人面临巨大风险。尽管用户的位置尚未被泄露，但数据泄露严重侵犯了他们的隐私和安全。

---

转自安全客，原文链接：https://www.anquanke.com/post/id/291597

封面来源于网络，如有侵权请联系删除