Migliaia di Apple ID dei bambini esposti online

Un’app che promette di incrementare la sicurezza degli utenti iOS ha esposto migliaia di credenziali di accesso Apple, inclusi gli Apple ID di numerosi minorenni, salvando in chiaro per diverso tempo queste password su almeno due server ospitati da Amazon Web Services. Si chiama TeenSafe, come segnalato da ZDNet dopo che il ricercatore ha Robert Wiggins ha allertato circa tale problematica.

TeenSafe consente ai genitori di visualizzare i messaggi di testo dei loro figli e la posizione, la cronologia delle chiamate, la cronologia di navigazione web e le app installate. Ma la società con sede a Los Angeles, California, ha lasciato i suoi server, ospitati sul cloud di Amazon, non protetti e accessibili da chiunque non avesse la password: dopo che la società responsabile è stata avvisata, entrambe i server sono stati messi offline, come spiegato da un portavoce:

Abbiamo preso provvedimenti per chiudere uno dei nostri server al pubblico e abbiamo iniziato ad avvisare i clienti che potrebbero essere potenzialmente interessati.

Le informazioni nel database esposto includevano gli indirizzi email dei genitori che hanno utilizzato TeenSafe, gli indirizzi email Apple ID dei loro figli, il nome e l’identificatore univoco del dispositivo per bambini. Anche le password in chiaro per l’ID Apple per bambini erano incluse nel set di dati in questione, nonostante nel suo sito web l’azienda affermi di utilizzare la crittografia per proteggere i dati dei suoi clienti.

Ad aggravare la problematica vi è il fatto che TeenSafe richieda di disattivare l’autenticazione a due fattori sul dispositivo Apple del bambino, in modo tale che i genitori possano monitorarlo senza il suo consenso. Ciò significa che un malintenzionato potrebbe accedere all’account di un minorenne utilizzando le credenziali esposte su uno dei due server, ad esempio per localizzarlo o contattarlo. TeenSafe afferma di avere oltre un milione di genitori che utilizzano il servizio.