Издание TechCrunch обнаружило, что ряд популярных тревел-сервисов тайно следили за пользователями их iOS-приложений. В их числе агрегаторы отелей (Hotels.com), приложения авиалиний (Singapore Airlines и Air Canada) и другие (Expedia). Первым на их деятельность обратил внимание блог App Analyst, посвященный кибербезопасности.
Все программы пользовались услугами аналитической компании Glassbox, которая встраивала в приложения модуль для слежки за пользователям. Эта практика также известна под названием «session replay». С помощью технологий Glassbox, приложения записывали каждое действие пользователя и делали скриншоты по ходу пользования программой.
Как отмечает TechCrunch, ни одна из программ не заявляла о подобном в пользовательском соглашении. Кроме того, под запись попадали даже разделы с особенно ценной информацией вроде полей для заполнения паспортных и платежных данных.
В их копировании, например, уличили мобильный клиент авиалиний Air Canada. Но приложение еще и не обеспечивало безопасной передачи информации на сервер. Данные были уязвимы к атаке посредника или другим формам перехвата. Также в августе 2018 года Air Canada уже отчитывалась об утечке из своего мобильного приложения, в ходе которой пострадали 20 000 клиентов — это тоже не добавляет уверенности в том, что данные хранятся соответствующим образом.
В TechCrunch подчеркнули, что такую слежку могут практиковать и другие программы для iOS и Android. Но точно назвать их невозможно из-за отсутствия соответствующих пунктов в лицензионных соглашениях. К тому же, Glassbox — не единственная компания на рынке, предлагающая подходящие для такой слежки технологии. Обычно компании пользуются услугами таких посредников, чтобы собирать данные о сбоях в приложении. Но в ситуации, когда они забывают позаботиться о безопасности и приватности, пользователи могут дорого поплатиться за утечку такой информации.
Напомним, ранее AIN.UA рассказывал о крупнейшей слитой базе паролей, в которой 2,2 млрд записей.