Новости Геолокации, ВИЧ-статус и интимные чаты — база приложения для знакомств оказалась нараспашку

[NewsMaker]

Разработчики Headero забыли про защиту… и вот, к чему это привело.

---

---

Команда исследователей из Cybernews обнаружила масштабную утечку данных в приложении Headero — популярной платформе для знакомств в квир-среде и среди представителей альтернативных сообществ. Утечка затронула более четырёх миллионов записей, включая интимные переписки, данные о состоянии здоровья, Для просмотра ссылки Войди или Зарегистрируйся пользователей и их личные предпочтения.

Приложение, доступное в Google Play и распространяемое американской компанией ThotExperiment, предлагает функции геолокационного поиска, настройки профиля и личной переписки. Однако за внешне привычным интерфейсом скрывался серьезный технический пробел — Для просмотра ссылки Войди или Зарегистрируйся , открытая для доступа из интернета.

Самое тревожное — в открытом виде хранились точные GPS-координаты пользователей, что может представлять реальную угрозу безопасности, особенно для представителей уязвимых групп, живущих в странах или регионах с высоким уровнем дискриминации. Сама по себе Для просмотра ссылки Войди или Зарегистрируйся уже чувствительна, но когда к этому добавляется возможность отследить человека по геолокации — риски становятся критическими.

<div class="highlight-list"> <h4>Среди обнародованных данных оказались:</h4>

• имена и адреса электронной почты;
• данные для входа через социальные сети;
• JWT-токены (токены аутентификации);
• фотографии профиля;
• токены устройств;
• предпочтения в сексуальном поведении;
• статус по передающимся половым путём инфекциям (включая ВИЧ).

<div class="highlight-list"> <h4>Объём утечки поражает:</h4>

• ???? 352 081 профилей пользователей
• ???? 3 032 001 приватных сообщений
• ???? 1 096 904 записей в групповых чатах

Обнаруженная база данных работала на Для просмотра ссылки Войди или Зарегистрируйся — популярной платформе хранения данных, которую используют тысячи веб-приложений. Источник проблемы, по мнению специалистов, стандартен: из-за человеческой ошибки база оказалась открыта для доступа без пароля или других форм аутентификации. Это типичный случай «плохой цифровой гигиены», который, по словам исследователей, они регулярно находят у компаний самого разного масштаба — от стартапов до крупных платформ. После того как Cybernews уведомила разработчиков Headero, доступ к данным был оперативно закрыт. Представители приложения заявили, что речь шла о тестовой базе. Однако анализ специалистов показал, что в утечке фигурировали реальные данные пользователей, а не условные или случайные тестовые записи.

Это далеко не первый случай, когда Для просмотра ссылки Войди или Зарегистрируйся становятся источником утечек конфиденциальной информации. Ранее Cybernews уже публиковал отчёты о похожих инцидентах: в числе затронутых оказались сервисы, ориентированные на BDSM-сообщества, ЛГБТК+ аудиторию и платформы для «сахарных» знакомств. В ряде случаев в открытом доступе оказывались личные фотографии из чатов, верификационные изображения и даже удалённые снимки, изъятые за нарушение правил.

В одном из таких случаев были раскрыты почти Для просмотра ссылки Войди или Зарегистрируйся , отправленных как в публичных постах, так и в приватной переписке. Аналогии с текущей ситуацией очевидны: техническая халатность разработчиков приводит к обнажению личной жизни тысяч людей.

Сейчас база данных Headero заблокирована, однако до сих пор неизвестно, успели ли злоумышленники воспользоваться уязвимостью до её закрытия. Учитывая характер утекшей информации, даже один день открытого доступа мог привести к фатальным последствиям — от вымогательства до физического преследования.

Этот инцидент вновь напоминает, что даже в сфере личных и интимных знакомств Для просмотра ссылки Войди или Зарегистрируйся часто остаются на втором плане. Но когда на кону не только конфиденциальность, но и физическая безопасность, такая небрежность становится недопустимой.