Een datalek van een app om kinderen te monitoren bleek plaintext-wachtwoorden van ouders en kinderen op te slaan op onbeveiligde servers. De onbeveiligde servers zijn inmiddels offline gehaald. Het is onbekend of kwaadwillenden misbruik hebben gemaakt van het lek.

Er stonden persoonsgegevens van tienduizend gebruikers op de servers, maar het is onbekend hoeveel duplicaten daar tussen zaten, meldt ZDNet. De plaintext-wachtwoorden gaven rechtstreeks toegang tot het Apple ID van de kinderen, want de app vereist het uitschakelen van tweetrapsauthenticatie. Daardoor konden kwaadwillenden met de gegevens inloggen. De app in kwestie is TeenSafe, dat naar eigen zeggen een miljoen gebruikers heeft en dat als bedoeling heeft om ouders inzage te geven in wat kinderen met hun iPhone doen.

ZDNet heeft contact opgenomen met diverse ouders van wie gegevens op de server stonden, die de juistheid van de gegevens en de wachtwoorden bevestigden. Een andere server bleek alleen testdata te bevatten. ZDNet kreeg de tip van een Britse beveiligingsonderzoeker.

Het opslaan van de wachtwoorden in plaintext staat haaks op de claim van Teensafe op de eigen site, waarop het bedrijf stelt encryptie te gebruiken om data op te slaan. De servers zijn offline. Het bedrijf zegt in een reactie meer informatie te openbaren als die beschikbaar komt.

Reacties mogelijk gemaakt door CComment