De dating-app Jack'd die privéfoto's en persoonlijke informatie van gebruikers lekte heeft het datalek voor 240.000 dollar met de Amerikaanse staat New York geschikt. Uit onderzoek van het openbaar ministerie van de staat bleek dat opgeslagen gebruikersgegevens niet goed waren beveiligd.
Daarnaast bleek dat de interface van de app waarmee toegang tot de backendgegevens kon worden verkregen niet beveiligd was. Door deze kwetsbaarheden was het mogelijk geweest om persoonlijke informatie van Jack'd-gebruikers te benaderen, waaronder locatiegegevens en gehashte inloggegevens. Ook hadden onbevoegden de privéfoto's van gebruikers kunnen benaderen. In februari van dit jaar demonstreerde een beveiligingsonderzoeker dat privéfoto's van gebruikers door onbevoegden konden worden bekeken, zelfs als ze de app niet hadden geïnstalleerd.
Het bedrijf achter de app wist begin 2018 al van de kwetsbaarheden af, maar verhielp die pas na een jaar, nadat het hier herhaaldelijk door de pers om was gevraagd. Tijdens de periode dat het bedrijf van de kwetsbaarheden wist, maar die nog niet had verholpen, werden er ook geen tussentijdse oplossingen uitgerold. Daarnaast vond er geen logging plaats om ongeautoriseerde toegang te detecteren. Verder werden gebruikers niet gewaarschuwd en bleef het bedrijf volhouden dat de gegevens van gebruikers goed waren beveiligd.
Als onderdeel van de schikking met het openbaar ministerie van de staat New York zal Jack'd de staat 240.000 dollar betalen, alsmede een uitgebreid beveiligingsprogramma uitrollen om gebruikersgegevens te beschermen. Verder moet het bedrijf ervoor zorgen dat toekomstige kwetsbaarheden tijdig worden verholpen. Jack'd heeft naar eigen zeggen honderdduizenden gebruikers wereldwijd.
Deze posting is gelocked. Reageren is niet meer mogelijk.