Altı popüler mobil uygulamada bulunan ciddi bir güvenlik açığı, potansiyel olarak milyonlarca kullanıcının kişisel ve hassas verilerini çevrimiçi olarak sızdırmış olabilir. Araştırmacı Mikail Tunç, Aralık 2021'in sonlarında hem Android hem de iOS'taki birden fazla mobil uygulamanın kimlik doğrulama hizmetlerini yanlış yapılandırdığını keşfetti. Bu uygulamaların servis sağlayıcı Onfido'nun önerdiği yöntemleri takip etmediğini tespit etti.
Arka uçta bir API belirteci tutmak yerine, bu belirteçleri ön uçta açıkta tutan uygulamalar, potansiyel olarak biyometrik verileri sızdırmış olabilir. Bu açığı Tunç'tan önce bulan kötü niyetli yazılımcılar kimlik kartları, pasaportlar gibi kişisel olarak tanımlanabilir verileri elde edebilirdi. Buna ek olarak ehliyetler, e-postalar, tam adlar veya fiziksel adresler de tehlikede bulunuyor. Ayrıca, birçok kimlik doğrulama hizmetinin gerektirdiği selfie videolar da çalınmış olabilir.
Açığın ilk defa Tunç tarafından bulunduğu belirtiliyor, yani veriler şimdilik güvende. Ancak durumun gerçekten böyle olup olmadığı hala net değil. Bu belirteçlerin ek bir güvenlik önlemi olarak genellikle bir son kullanma tarihi bulunuyor. Ancak, açıkta sözü edilen belirteçlerin bir son kullanma tarihi yok, bu da tehdidi çok daha büyük hale getiriyor.
Haberi ilk kez yayınlayan CyberNews'e göre, etkilenen uygulamalar arasında beş milyondan fazla kullanıcıya sahip bir ticaret platformu olan FxPro Direct App, bir milyondan fazla kullanıcıya sahip bir araba kiralama aracı olan Europcar, tasarruf uygulaması Chip, alışveriş uygulaması Hoolah, kripto para uygulaması Modu ve bir araba paylaşım hizmeti olan Greenwheels bulunuyor.