TeenSafe - Ứng dụng di động quản lý trẻ em, làm lộ mật khẩu người dùng

Mới đây, một máy chủ chạy ứng dụng di động TeenSafe để các bậc phụ huynh có thể vào kiểm tra các hoạt động trên điện thoại của con mình đã làm rò rỉ hàng chục nghìn tài khoản người dùng khác nhau, theo trang tin Dznet.

Cụ thể, một nhà nghiên cứu bảo mật tại Anh có tên là Robert Wiggins, đồng thời cũng là người chuyên tìm kiếm những kẽ hở có thể làm lộ dữ liệu cá nhân đã tìm thấy 02 máy chủ chạy ứng dụng TeenSafe bị rò rỉ thông tin. 

Cơ sở dữ liệu lưu trữ địa chỉ email hay Apple ID của các bậc cha mẹ được liên kết với TeenSafe bao gồm tên thiết bị của con họ và số nhận dạng duy nhất của thiết bị. Ngoài ra, dữ liệu còn chứa cả mật khẩu dạng văn bản về ID Apple của trẻ. 

Vì ứng dụng yêu cầu xác thực hai yếu tố bị tắt, nên chỉ cần một chút am hiểu về công nghệ là bất cứ ai cũng có thể xâm nhập vào hệ thống dữ liệu và sử dụng thông tin định danh để đăng nhập vào tài khoản của trẻ, tiếp đến truy cập vào toàn bộ dữ liệu cá nhân.

Mặc dù vậy, không có bản ghi nào chứa dữ liệu nội dung về ảnh, tin nhắn hoặc vị trí của cha mẹ, cũng như con em họ. Tuy nhiên, dữ liệu lại chứa các thông báo lỗi liên quan đến các hoạt động không thành công của tài khoản, chẳng hạn như nếu một phụ huynh tìm kiếm vị trí trong thời gian thực của trẻ nhưng không có kết quả.

Đến thời điểm này, cả 02 mày chủ đã bị ngắt kết nối, bao gồm cả một máy chủ khác có chứa dữ liệu thử nghiệm. Đại diện của công ty phát triển TeenSafe cũng cho biết, họ đã chủ động ngắt kết nối của hệ thống máy chủ và bắt đầu gửi cảnh báo tới khách hàng có khả năng bị ảnh hưởng.

Nhưng điều không may là trước khi các hệ thống máy chủ được ngắt kết nối, đã có ít nhất 10.200 bản ghi chứa dữ liệu khách hàng trong 03 tháng vừa qua đã bị phơi bày, một trong số đó là cả bản sao.  Theo công bố của nhà phát triển ứng dụng TeenSafe, hiện đã có trên 1 triệu phụ huynh sử dụng ứng dụng này. TeenSafe cũng cho biết, công ty đã bắt đầu xác minh một số dữ liệu bằng cách liên hệ với những người có địa chỉ email được dùng trong dữ liệu bị rò rỉ. Cha mẹ cũng phải xác nhận cả địa chỉ email và Apple ID của con em mình.

Hiện công ty phát hành ứng dụng TeenSafe vẫn chưa lý giải vì sao toàn bộ Apple ID của khách lại lại bị rò rỉ dưới dạng văn bản. Công ty cho biết, họ sẽ tiếp tục đánh giá tình hình và sẽ cung cấp thêm thông tin liên quan nếu có phát sinh xảy ra.

Được biết, TeenSafe được xây dựng bởi một công ty có trụ sở ở Los Angeles (Mỹ) và ứng dụng dùng để giám sát các em ở độ tuổi teen (13-17 tuổi) sử dụng thiết bị di động như thế nào. Ứng dụng này được lưu trữ trên hệ thống lưu trữ đám mây của Amazon. Lâu nay, ứng dụng TeenSafe vốn được xem là công cụ tốt để  bậc cha mẹ giám sát các thiết bị di động iOS hay Android của con em mình, từ việc theo dõi chúng đang ở đâu, đang làm gì, kể cả việc chúng truy cập vào những ứng dụng nào và ứng dụng nào đã được chúng cài đặt. Thậm chí họ còn có thể truy cập vào lịch sử duyệt web của chúng.

Mặc dù,  nhưng ứng dụng này vẫn gây ra nhiều tranh cãi. Theo các nhà lập pháp, nó được cho là xâm phạm quyền riêng tư, nhưng công ty phát hành ứng dụng TeenSafe cho biết, các bậc phụ huynh khi cài đặt ứng dụng không nhất thiết phải có được sự đồng ý của con em mình.

Việc các máy chủ chạy ứng dụng TeenSafe đã làm lộ thông tin cho thấy, có vẻ như hệ thống máy chủ chứa ứng dụng TeenSafe không được thiết lập bảo mật cao và bất cứ ai, ở bất cứ đâu cũng thể truy cập vào hệ thống mật khẩu này.