Анонимность, которой не оказалось

Пользователи FTF Live считали, что каждый разговор исчезает сразу после нажатия «далее». Без аккаунтов, только камера, микрофон и случайный собеседник где-то на другом конце мира. Но оказалось, что более 22 миллионов сессий были зафиксированы в базе, доступной любому с прямой ссылкой.

Как обнаружили утечку

Исследователи из Cybernews наткнулись на открытый интерфейс Kibana — инструмент для визуализации Elasticsearch. Он не требовал авторизации и содержал аналитические записи миллионов сессий. Среди данных были:

• IP-адреса и названия устройств;

• типы браузеров и платформ;

• страна, язык, пол и статус аккаунта;

• для около 3,47 млн пользователей — имена и email;

• для платных пользователей — данные о платежах и выставленных счетах.

Сами видеозаписи разговоров в утечку не попали, но метаданные позволяют строить подробные цифровые профили.

«Утечка превращает то, что многие считали анонимным и одноразовым взаимодействием, в легко отслеживаемый цифровой след», — отмечают исследователи Cybernews.

Живые логи в реальном времени

Помимо Kibana, был открыт и Dozzle — просмотрщик логов Docker. Через него можно было видеть пароли в открытом виде, токены сессий, внутренние API-запросы и детали инфраструктуры. Фактически любой мог наблюдать за сервером в реальном времени.

Кто за это отвечает

FTF Live позиционирует себя как анонимный сервис. Приложение было доступно на Android через Burhan LTD, с поддержкой через Pixover и политикой конфиденциальности кипрской Cooy Ads Ltd.. Разобраться в структуре собственности сложно. Приложение удалили из Google Play примерно за десять дней до публикации расследования.

Почему это важно

Даже без видеозаписей метаданные создают полный цифровой след: отслеживание между сессиями, сопоставление действий и восстановление карт посещений платформы. Для анонимного чата это серьёзный пробел в безопасности, особенно когда обсуждаются личные или откровенные темы.

Итог

Утечка показывает, что платформы, обещающие анонимность, часто собирают данные, способные её разрушить. Особенно уязвимы группы пользователей из стран с репрессивными законами, несовершеннолетние и участники чувствительных дискуссий. Даже простой доступ к Kibana и Dozzle демонстрирует, как ошибки конфигурации влияют на приватность миллионов.

Главная проблема — не масштаб, а молчание владельцев. Отсутствие реакции после раскрытия уязвимости создаёт информационный вакуум и подрывает доверие. Для пользователей честный диалог был бы лучшей защитой, но вместо него платформа просто исчезла из магазина приложений. Это сигнал, что за «анонимностью» часто скрывается реальная уязвимость.

Источник: SecurityLab