Kid Security, een populaire app voor ouderlijk toezicht met miljoenen downloads, blijkt gevoelige informatie over kinderen te lekken. De app, die beschikbaar is op Android en iOS, onthult GPS-locaties, privéberichten, e-mailadressen, IP-adressen en meer. De gegevens waren ruim een jaar voor iedereen toegankelijk, ontdekten beveiligingsonderzoekers van Cybernews. Hetzelfde team meldde eerder in november 2023 een datalek van Kid Security.
Beveiligingsonderzoekers ontdekken opnieuw een datalek van Kid Security
Kid Security is een mobiele app die ouders op de telefoons van hun kinderen kunnen installeren om hun locatie bij te houden, naar hun omgeving te luisteren wanneer ze weg zijn, de schermtijden te beperken, digitale interacties te controleren en meer. Het is ontwikkeld door een bedrijf met het hoofdkantoor in Kazachstan en werkt samen met een andere app genaamd 'Tigrow!' om ouders volledige controle te geven over wat hun kinderen op hun telefoons doen.
Helaas zorgen slechte beveiligingsmaatregelen ervoor dat de app zijn gebruikers meer kwaad dan goed heeft gedaan. Volgens Cybernews zijn de ontwikkelaars van Kid Security “er niet in geslaagd de authenticatie voor hun Kafka Broker Cluster te configureren.” Hierdoor zijn gevoelige gegevens van de telefoons van minderjarigen in gevaar gebracht. De gelekte gegevens omvatten privéberichten van verschillende chat-apps, waaronder Instagram, WhatsApp, Telegram, Viber en Vkontakte.
Het lek onthulde ook de e-mailadressen van ouders, IP-adressen, lijsten met apps die op telefoons zijn geïnstalleerd en hun gebruiksstatistieken, audio-opnamen van de omgeving van minderjarigen, apparaatlocaties, IMEI-nummers en andere vormen van gegevens. Het ergste is dat iedereen, inclusief dreigingsactoren, toegang zou kunnen krijgen tot de gegevens. En niet voor een dag of een week, maar voor een heel jaar, wat een enorm veiligheidsrisico is voor ouders en minderjarigen.
Informatie zoals e-mailadressen, sociale mediaberichten, IMEI-nummers en GPS-locaties zijn meer dan voldoende om een gebruiker te lokaliseren. Sommige gelekte groepschats hadden specifieke schoolnamen en klassenaanduidingen in de titel, waardoor een bedreigingsacteur een individu verder kon beperken. Ze kunnen ook de Sound Around-functie gebruiken om zonder hun medeweten naar de omgeving van een kind te luisteren en deze op te nemen.
Het lek had ook gevolgen voor kinderen die deze app niet gebruiken
Dit datalek had ook gevolgen voor kinderen die Kid Security niet op hun telefoon hadden geïnstalleerd. Hun berichten die met deze app naar kinderen werden gestuurd, werden openbaar gemaakt. Dit omvatte groepschats met de bovengenoemde details. Het lek trof vooral mensen in de Russische Federatie, Oost-Europa en het Midden-Oosten, hoewel ook een aanzienlijk aantal mensen uit andere regio’s de app gebruiken.
Cybernews ontdekte dit lek in februari 2024. Het cluster is open sinds januari 2023. Gedurende deze periode had het meer dan 100 GB aan informatie blootgelegd. De onderzoekers observeerden het cluster ruim een uur en ontvingen 456.000 privéberichten en app-gebruiksstatistieken van 11.000 telefoons. Dat is een opmerkelijk grote hoeveelheid gegevens die binnen een uur is aangetast. Bedreigingsactoren zouden de informatie kunnen gebruiken om meer verwoestende aanvallen uit te voeren.
De publicatie nam contact op met de ontwikkelaars van Kid Security nadat ze dit lek hadden ontdekt. Het bedrijf heeft het cluster vervolgens veiliggesteld, maar de schade was al aangericht. Gezien het feit dat het lek ruim een jaar ongepatcht bleef, hielden de ontwikkelaars het cluster waarschijnlijk niet actief in de gaten. Een eerder lek onthulde ook duizenden telefoonnummers, e-mailadressen en activiteitenlogboeken van de gebruikers van de app.
Als jij of iemand die je kent Kid Security gebruikt, kan het een veiligere optie zijn om deze te verwijderen en over te schakelen naar een andere app voor ouderlijk toezicht. U moet ook waakzaam blijven met betrekking tot de veiligheid van uw kind, aangezien het lek uw gegevens in gevaar had kunnen brengen.
