ربما تم اختراق صور حميمة لمستخدمي تطبيق المواعدة “Throuples” Feeld | الشركات الناشئة في مجال التكنولوجيا

تبين أن مستخدمي تطبيق Feeld، وهو تطبيق مواعدة يستهدف العلاقات البديلة، ربما تعرضوا للوصول إلى بيانات حساسة بما في ذلك الرسائل والصور الخاصة وتفاصيل حياتهم الجنسية أو حتى تحريرها، وذلك بعد أن كشف خبراء الأمن السيبراني عن سلسلة من “الثغرات” الأمنية.

Feeld، مسجلة في المملكة المتحدة، أعلنت عن ارتفاع الإيرادات والأرباح هذا الشهر، وذلك بفضل ملايين التنزيلات من المستخدمين غير المتزوجين، والمثليين، والمتعطشين للميول الجنسية المختلفة في جميع أنحاء العالم.

ولكن في حين أن التطبيق قد انتقل من قوة إلى قوة ماليًا – وجذب إشادة بنهجها في التعامل مع الجنس – تزعم شركة بريطانية للأمن السيبراني أنها اكتشفت عيوبًا خطيرة في أنظمة Feeld في وقت سابق من هذا العام.

وقالت شركة فيلد إنها تعاملت مع المخاوف “كمسألة عاجلة”، وتم حلها في غضون شهرين، وإنها لم تر أي دليل على أن بيانات المستخدم تعرضت للاختراق.

ولم تكن الشركة تعلم منذ متى كانت الثغرات موجودة قبل أن يتم إبلاغها بها في مارس/آذار. من قبل شركة الأمن السيبراني Fortbridge ومقرها لندن.

اكتشفت شركة Fortbridge المشكلات بعد إجراء “اختبار الاختراق”، وهو مصطلح صناعي لتقييمات الأمان لمواقع الويب والتطبيقات لتحديد نقاط الضعف التي يمكن للمهاجمين استغلالها.

اكتشف الباحثون أنه من الممكن قراءة رسائل الأشخاص الآخرين المتبادلة في الدردشات على تطبيق Feeld وحتى رؤية المرفقات، والتي يمكن أن تتضمن صورًا ومقاطع فيديو صريحة جنسيًا.

يمكن القيام بذلك دون استخدام حساب Feeld، طالما أن المتسلل المحتمل لديه “معرف مستخدم البث” الخاص بالمستخدم، والذي قد يكون مرئيًا لأي شخص يمكنه رؤية ملفه الشخصي.

ووجد الباحثون أن الرسائل يمكن تعديلها وحذفها، كما يمكن استعادة المحادثات التي حذفها المستخدمون. ويمكن استعادة الصور ومقاطع الفيديو المحدودة زمنياً، والتي تُستخدم عادةً لمشاركة الصور الفاضحة التي تُحذف تلقائياً بعد مشاهدتها، ومشاهدتها إلى أجل غير مسمى، من خلال الوصول إلى رابط متاح للمرسل.

وقال فورتبريدج إن هذه العيوب قد تسمح أيضًا للمتسلل بتغيير معلومات الملف الشخصي لشخص آخر، بما في ذلك اسمه وعمره وجنسه. وكان من الممكن أيضًا عرض مطابقات أشخاص آخرين وإجبار ملف شخصي يدويًا على “الإعجاب” بملف آخر.

وقالت شركة الأمن السيبراني لصحيفة الغارديان إن هذه العيوب ربما استغلها شخص لديه “معرفة تقنية أساسية”.

قال أدريان تيرون، الشريك الإداري في Fortbridge: “على الرغم من أن هذه ليست الأخطاء الأكثر تطوراً التي وجدناها أو استغليناها، إلا أنها بالتأكيد من بين الأكثر تأثيراً بسبب قاعدة مستخدمي Feeld الكبيرة، مما يعرض عدداً كبيراً من المستخدمين للخطر.

“في الصناعة، من الشائع أن تشارك الشركات أفضل أبحاثها مع المجتمع. لقد تعلمنا الكثير من الآخرين من خلال قراءة تقاريرهم، والآن حان دورنا لنرد الجميل.

“لقد لاحظنا أن العديد من الشركات تدعي أنها تعطي الأولوية للأمن، ولكن في كثير من الأحيان تكون هذه مجرد كلمات – هناك حاجة إلى مزيد من العمل.”

وقالت شركة فيلد إنها لم تشارك المعلومات المتعلقة بالثغرات الأمنية علنًا، بما في ذلك مع المستخدمين، لأنها لا تريد “دعوة الجهات السيئة” للتلاعب بالمعلومات الخاصة.

وقالت الشركة إنه سيتم إبلاغ الأعضاء بشكل مباشر بكيفية إصلاح المشكلات وأنها تتطلع إلى مشاركة المزيد من “التحديثات الاستباقية” في المستقبل عبر موقعها على الويب والبريد الإلكتروني والتطبيق.

وقال أليكس لورانس آرتشر، وهو محام في شركة المحاماة المتخصصة في حقوق البيانات AWO، إن فيلد قد تواجه الآن عواقب من هيئة تنظيم البيانات، أو مكتب مفوض المعلومات، أو من أي مستخدم تبين أنه تم الوصول إلى معلوماته.

وقال “إذا كان هذا صحيحًا، وأن البيانات الشخصية، بما في ذلك الرسائل والصور الخاصة، قد تم الكشف عنها بهذه الطريقة – أو حتى كانت قادرة على الوصول إليها – فهناك حجة قوية على أنها تتعارض مع مبدأ حماية البيانات العامة الأساسي الذي ينص على وجوب معالجة البيانات بطريقة آمنة”.

“هذا هو النوع من الأشياء التي أتوقع أن تقوم ICO بالتحقيق فيها، إذا كانت دقيقة، للوصول إلى حقيقة ما حدث وما إذا كان هناك حاجة إلى أي إجراءات تصحيحية أو إنفاذية.

“لا نعلم ما إذا كان قد تم الوصول إلى صور أو رسائل أي شخص. وإذا تبين أن هذا قد حدث، فإن مثل هذا الشخص سيكون له الحق في رفع دعوى ضد شركة Feeld، على سبيل المثال إذا كان قد عانى من ضائقة.”

وقال لورانس آرتشر إن الثغرات الأمنية أثارت أيضًا مخاوف محتملة بشأن تحديد هوية الأشخاص LGBTQ+ في البلدان التي تعتبر فيها المثلية الجنسية غير قانونية.

قالت هيئة مفوض المعلومات إنها لم تتلق تقارير عن خرق البيانات في شركة فيلد. وقالت شركة فيلد إنها لم تبلغ الهيئة التنظيمية لأنها لم تر أي دليل على أن أي شخص قد تمكن من الوصول إلى بيانات خاصة وأن منظمة خارجية وافقت على قرارها بعدم الإبلاغ عن ذلك.

وقالت الشركة إنها حققت في المشاكل التي لفتت انتباهها إليها شركة فورتبريدج في 3 مارس/آذار وأصلحتها بحلول 28 مايو/أيار، لكنها فشلت في التواصل بشكل مناسب مع شركة فورتبريدج لإبلاغها بأن المشاكل قد تم حلها وأنها قيد المراجعة من قبل طرف ثالث.

وقالت الشركة إنه لا توجد مشكلات عالقة، باستثناء مشكلة واحدة تسمح لغير الأعضاء بالوصول إلى الميزات المتميزة، مضيفة أنها ترحب بمزيد من اختبارات الاختراق.

وقال متحدث باسم الشركة: “إن سلامة وأمن أعضائنا هي أولويتنا القصوى، ونحن نرحب بالتعاون المستمر مع مجتمع القرصنة الأخلاقية لتحديد نقاط الضعف لأن هذا يعزز منصتنا للمستقبل”.

وأضافت أنها لم تكن قادرة في السابق على إجراء هذا النوع من الاختبارات على أنظمتها التي أجرتها شركة فورتبريدج، لكنها أصبحت الآن قادرة على القيام بذلك.