OnePlus

OnePlus «помогли» хакерам получить данные своих владельцев

В мире технологий новинки зачастую имеют и знак минус. Так, оконфузились на этот раз разработчики смартфонов OnePlus. Эти устройства стали источниками утечки данных своих владельцев в руки злоумышленников.

Фирменное приложение Shot on OnePlus позволяет использовать загруженные людьми изображения в качестве обоев. Скачать эти фотографии можно из самого приложения или веб-сайта после входа в свой профиль, в котором указано имя автора снимка, страна и адрес электронной почты. За безопасность личных данных должен был отвечать уникальный для каждой учётной записи цифро-буквенный идентификатор — но именно он стал причиной возникновения уязвимости.

Журналистам интернет-ресурса 9to5Google удалось выяснить, что токен пользователя (GID) состоит из двух частей: двух букв с обозначением региона (например, CN для Китая) и набора из шести цифр. Потенциальный злоумышленник с помощью открытого API, размещённого на open.oneplus.net, может получить доступ к аккаунтам пользователей для поиска или удаления фотографий в облачном хранилище. Идентификатор, подобранный методом простого перебора цифр, также можно использовать для получения информации о владельце смартфона (имя, адрес электронной почты, страна проживания) и даже для редактирования этих данных.

Головний редактор Марина Жуковіна