Life360 संभावित रूप से अपने उपयोगकर्ताओं के संवेदनशील डेटा को जोखिम में डालता है

द मार्कअप ने पाया है कि पारिवारिक सुरक्षा ऐप Life360 में हैकर को किसी खाते पर कब्जा करने और संवेदनशील जानकारी तक पहुंचने से रोकने के लिए कुछ मानक रेलिंग नहीं हैं।

140 देशों में 35 मिलियन से अधिक लोगों द्वारा उपयोग की जाने वाली सेवा, परिवारों के लिए अपने प्रियजनों के ठिकाने पर नजर रखने के लिए एक स्थान ट्रैकिंग ऐप है। ऐप समूह के सदस्यों के साथ-साथ घरों और कार्यस्थलों जैसे चिह्नित स्थानों के बीच रीयल-टाइम स्थान साझा करता है।

परीक्षणों की एक श्रृंखला के माध्यम से, हमने पाया कि Life360 संभावित हैकर्स को विफल करने के लिए कई बुनियादी सुरक्षा उपाय प्रदान नहीं करता है, जिसमें विफल लॉग-इन प्रयासों को सीमित करना और खातों के लिए दो-कारक प्रमाणीकरण प्रदान करना शामिल है।

मार्कअप ने Open Web Application Security Project (OWASP) द्वारा प्रकाशित मानकों की एक श्रृंखला के विरुद्ध Life360 ऐप का परीक्षण किया, जो एक गैर-लाभकारी संस्था है जो ऐप सुरक्षा मानकों को बढ़ावा देती है।

संगठन का अनुप्रयोग सुरक्षा सत्यापन मानक (एएसवीएस) एक स्वैच्छिक उद्योग दिशानिर्देश है और यह राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) के डिजिटल पहचान दिशानिर्देशों का भी बारीकी से पालन करता है, जो उपयोगकर्ता प्रमाणीकरण के लिए संघीय मानक हैं।

हमने पाया कि Life360 का ऐप उन 19 परीक्षणों में से छह को पास करने में विफल रहा, जिन्हें हम महत्वपूर्ण सुरक्षा सुविधाओं के लिए करने में सक्षम थे, जैसे कि विफल लॉग-इन प्रयासों को सीमित करना और यह सत्यापित करना कि पासवर्ड का उल्लंघन क्रेडेंशियल्स के एक सेट के खिलाफ किया गया है।

Life360 ने 11 अन्य ASVS परीक्षण पास किए—उदाहरण के लिए हमने सत्यापित किया कि उपयोगकर्ता अपना पासवर्ड बदलने में सक्षम हैं और 64 वर्णों से अधिक के पासवर्ड का उपयोग कर सकते हैं। Life360 ने आंशिक रूप से दो अतिरिक्त परीक्षण पास किए हैं जो यह जांचते हैं कि उपयोगकर्ता को खाता परिवर्तनों के बारे में सूचित किया गया है या नहीं।

हमने पाया कि ऐप ने उपयोगकर्ताओं को कई उपकरणों से लॉग-इन और पासवर्ड रीसेट अनुरोधों के बारे में सूचित किया था, लेकिन तब नहीं जब खाते का ईमेल पता, फोन नंबर या पासवर्ड बदला गया था। आप हमारे परीक्षण के पूर्ण परिणाम यहां देख सकते हैं।

"हम आपके प्रश्नों की श्रृंखला में निहित आरोपों से पूरी तरह असहमत हैं। हमारे पास एक अत्यधिक अनुभवी सुरक्षा टीम है और हमारे मंच के आंतरिक और बाहरी दोनों ऑडिट करते हैं। इसके अलावा, हम एक बग बाउंटी कार्यक्रम की मेजबानी करते हैं और चल रहे प्रवेश परीक्षण चलाते हैं, ”क्रिस रॉबर्टसन, लाइफ़360 के लिए सुरक्षा और क्लाउड संचालन के प्रमुख, ने मार्कअप को एक ईमेल बयान में कहा।

एक परीक्षण के लिए, हमने एक स्क्रिप्ट सेट की, जिसने Life360 की वेबसाइट पर हमारे एक खाते में लॉग इन करने का प्रयास किया, केवल 16 मिनट में 500 से अधिक बार गलत पासवर्ड का उपयोग करके ("मैं मानव हूं" लेबल वाले प्रारंभिक चेकबॉक्स को चेक करने के बाद)।

जब हमने 501वें प्रयास में सही पासवर्ड दर्ज किया तो इसने हमें लॉग इन करने की अनुमति दी। हमने इस परीक्षण को मैन्युअल रूप से ऐप के माध्यम से गलत पासवर्ड के साथ 100 से अधिक असफल प्रयासों के साथ किया और उसके बाद सही पासवर्ड के साथ एक सफल प्रयास किया।

दोनों ही मामलों में, Life360 ने भविष्य के लॉग-इन प्रयासों को कभी भी अवरुद्ध नहीं किया और सही पासवर्ड डालने के बाद तुरंत पहुंच की अनुमति दी।

एएसवीएस मानक एक खाते पर प्रति घंटे 100 से अधिक असफल लॉग-इन प्रयासों की अनुमति देने के लिए कहता है।

प्लेटफ़ॉर्म की ढीली पासवर्ड नीतियां, लॉग-इन प्रयास सीमाओं की स्पष्ट कमी, और दो-कारक प्रमाणीकरण की अनुपस्थिति, सटीक, वास्तविक समय के स्थान डेटा की संवेदनशील प्रकृति और इस तथ्य को देखते हुए उल्लेखनीय है कि बच्चे इसके उपयोगकर्ताओं में से हैं।

मार्कअप ने पहले बताया था कि Life360 के स्थान डेटा के विशाल संग्रह ने इसे स्थान डेटा उद्योग के लिए कच्चे डेटा के सबसे बड़े आपूर्तिकर्ताओं में से एक बना दिया है। जनवरी में, कंपनी ने घोषणा की कि वह सटीक स्थान डेटा (ऑलस्टेट की एरिटी को छोड़कर) को बेचना बंद कर देगी, लेकिन फिर भी कंपनी प्लासर एआई को एकत्रित स्थान डेटा की आपूर्ति करेगी।

एएसवीएस के प्रोजेक्ट मैनेजर जिम मैनिको ने कहा, "एक ऐप जो बच्चे की जानकारी से निपट रहा है जो कम से कम मल्टीफैक्टर [प्रमाणीकरण] की पेशकश नहीं कर रहा है, यह सीधे-सीधे लापरवाही है।"

Life360 उपयोगकर्ताओं ने Google Play और iOS ऐप स्टोर में Life360 ऐप के लिएसोशल मीडिया पर कई पोस्ट और समीक्षाओं में अनधिकृत लॉग-इन के बारे में शिकायत की है। कई उपयोगकर्ताओं ने दावा किया कि एक हैकर ने उनके खातों में लॉग इन किया था और या तो उनके रीयल-टाइम स्थानों, उनके चिह्नित स्थानों जैसे उनके घरों, या उनके प्रियजनों के रीयल-टाइम स्थान को देखने में सक्षम थे।

Life360 ने उपयोगकर्ताओं को उनकी सहायता टीम की ओर निर्देशित करते हुए, हमें मिली प्रत्येक ऐप स्टोर समीक्षा का जवाब दिया।

समीक्षकों ने टिप्पणी के लिए कई अनुरोधों का जवाब नहीं दिया। Life360 के रॉबर्टसन ने कहा, "हैक किए गए खातों की रिपोर्ट अत्यंत दुर्लभ हैं और आमतौर पर परिवार के किसी सदस्य को अपने साझा परिवार खाते में किसी मित्र को आमंत्रित करने का परिणाम होता है।"

Life360 के पूर्व कर्मचारियों ने द मार्कअप को बताया कि Life360 के अधिकारी सुरक्षा मुद्दों से अच्छी तरह वाकिफ थे, लेकिन सुरक्षा सुधारों के बैकलॉग से निपटने के लिए विकास और नई उपयोगकर्ता सुविधाओं को चुना। पूर्व कर्मचारियों ने नाम न छापने की शर्त पर द मार्कअप से बात की क्योंकि वे अभी भी डेटा उद्योग में कार्यरत हैं।

Life360 ने हाल ही में पहचान की चोरी से सुरक्षा, क्रेडिट निगरानी और डेटा उल्लंघन की सूचनाओं सहित अपने उपयोगकर्ताओं की डिजिटल सुरक्षा सुनिश्चित करने के तरीके के रूप में खुद को स्थापित करना शुरू किया है। अपनी मार्केटिंग भाषा में, Life360 उपयोगकर्ताओं से वादा करता है, "हम आपके डेटा की सुरक्षा करते हैं ताकि आप अधिक जी सकें और चिंता कम कर सकें," यह देखते हुए कि "प्रत्येक वर्ष 1 मिलियन बच्चे" हैक और पहचान की चोरी के शिकार होते हैं।

कंपनी अपनी मार्केटिंग सामग्री में साझा की गई सुरक्षा सलाह का भी पालन नहीं करती है। Life360 की वेबसाइट पर पोस्ट किए गए एक में, यह अनुशंसा करता है कि उपयोगकर्ता कम से कम 12 वर्णों में पासवर्ड सेट करें। Life360 के लिए केवल यह आवश्यक है कि पासवर्ड में छह वर्ण हों।

विशेषज्ञ चेतावनी देते हैं कि ऐसे ऐप्स जो लोगों को विशेष रूप से एक-दूसरे के स्थानों को ट्रैक करने की अनुमति देते हैं, उनका दुरुपयोग किया जा सकता है।

अपमानजनक साझेदार कभी-कभी बचे हुए लोगों का अनुसरण करने और उन्हें परेशान करने के लिए साझा खातों तक पहुंच का उपयोग करेंगे, और ट्रैकिंग ऐप्स उस चिंता का एक बड़ा हिस्सा हैं, कॉर्नेल टेक के एक सहयोगी प्रोफेसर थॉमस रिस्टेनपार्ट और क्लिनिक टू एंड टेक एब्यूज के सह-संस्थापक ने कहा।

हालांकि उन्होंने लाइफ़360 के स्टाकर द्वारा दुर्व्यवहार के उदाहरण नहीं देखे हैं, रिस्टेनपार्ट ने कहा कि कोई भी ऐप जो रीयल-टाइम लोकेशन डेटा प्रदान करता है, चिंता का कारण है। उन्होंने कहा कि अपने काम में, उन्हें पता है कि दुर्व्यवहार करने वाले साझेदारों द्वारा लोकेशन मॉनिटरिंग टूल्स का इस्तेमाल किया जा रहा है, जो बचे लोगों को ट्रैक करते हैं और उनका पीछा करते हैं।

"हम Life360 जैसे ऐप्स इंस्टॉल करते हैं। यदि हम उन्हें ढूंढते हैं, तो हम ग्राहकों के साथ इस बारे में चर्चा करते हैं कि वे क्या करना चाहते हैं," रिस्टेनपार्ट ने कहा।

उन्होंने कहा कि खाता सुरक्षा में सुधार करना अक्सर शीर्ष सिफारिश है जो रिस्टेनपार्ट तकनीकी कंपनियों के लिए करता है, उन्होंने कहा।

खाता अधिग्रहण को रोकने के लिए अधिक कंपनियों को सुरक्षा सुविधा के रूप में दो-कारक प्रमाणीकरण की आवश्यकता होती है । फरवरी में, Google ने डिफ़ॉल्ट रूप से दो-कारक प्रमाणीकरण सक्षम करने के बाद खाता अधिग्रहण में 50 प्रतिशत की गिरावट दर्ज की । अमेज़ॅन के स्वामित्व वाली डोरबेल कंपनी रिंग ने मालिकों को परेशान करने के लिए हैकर्स द्वारा कैमरों को हाईजैक करने के बाद अनिवार्य दो-कारक प्रमाणीकरण सक्षम किया।

विशेषज्ञों ने कहा कि उपयोगकर्ताओं को "123456" और "पासवर्ड" जैसे स्पष्ट पासवर्ड बनाने से रोकना - जो Life360 नहीं करता - भी महत्वपूर्ण है। ऐप एक प्रसिद्ध उल्लंघन किए गए पासवर्ड, "पासवर्ड 1" और ईमेल लॉगिन "[email protected]" को फ़्लैग करने में भी विफल रहा, जिसे कॉमेडियन एंडी सैमबर्ग ने 2015 के एमी पुरस्कारोंमें अपने एचबीओ लॉग-इन के रूप में मजाक में साझा किया ।

दोनों क्रेडेंशियल्स को Google क्रोम के पासवर्ड चेकअप के साथ-साथ हैव आई बीन प्वॉड डेटाबेस द्वारा लीक के रूप में चिह्नित किया गया है।

एनआईएसटी के सलाहकार और एजेंसी के प्रमाणीकरण दिशानिर्देशों के सह-लेखक जिम फेंटन ने कहा, "ऐसा नहीं लगता कि उन्होंने मूल बातें भी की हैं।" "यदि आप पासवर्ड 'पासवर्ड' का उपयोग कर सकते हैं, तो यह बहुत अच्छा नहीं है।"

Life360 के पूर्व कर्मचारियों में से एक ने द मार्कअप को बताया कि खातों के लिए ईमेल सत्यापन के बारे में एक आंतरिक बहस हुई थी। ईमेल पता सत्यापित करने से धोखाधड़ी और बॉट्स को किसी सेवा को स्पैम करने से रोकने में मदद मिलती है, और यह उपयोगकर्ताओं को किसी के नाम से साइन अप करने से बचाता है।

Life360 के पूर्व कर्मचारी ने कहा कि कंपनी ने लोगों के लिए साइन अप करना आसान बनाने के लिए इस उपाय के खिलाफ फैसला किया।

हमने यह सुनिश्चित करने के लिए कि वे वास्तविक ईमेल पते हैं, हमने कोई सत्यापन ईमेल प्राप्त किए बिना अपने Life360 खातों के ईमेल को कई बार बदला है। साइन अप करते समय हमें कभी भी सत्यापन ईमेल प्राप्त नहीं हुए।

क्रेडिट: अल्फ्रेड एनजी और जॉन कीगन

Unsplash . पर तौफीकू बरभुइया द्वारा फोटो

यहाँ भी प्रकाशित