Журналисты издания 9to5Mac выяснили, что любой желающий может получить доступ к данным школьников, включая расписание занятий, в приложении Saturn. Разработчики уверяют, что просматривать данные могут только одноклассники, а для регистрации нужен адрес электронной почты на домене образовательной организации. На самом деле система не проверяет принадлежность пользователя к школе.
Приложение Saturn доступно на iOS и предназначено для помощи в организации времени школьников. Пользователи могут добавлять в приложение расписание занятий и отслеживать события в календаре. Также ученикам доступна общая лента школы, в которой можно публиковать интересные материалы.
На сайте Saturn отмечено, что зарегистрироваться в приложении можно с электронного адреса на школьном домене, а данные учеников видят только их одноклассники. К тому же платформа закрыта для родителей и учителей, чтобы школьники могли общаться только в своей среде.
Журналисты издания 9to5Mac попробовали пройти регистрацию в Saturn, чтобы проверить заявленную безопасность. Для регистрации потребовался только номер телефона. Также система запросила имя, дату рождения и класс обучения. Нужную школу можно выбрать из списка, который фильтруется по местоположению пользователя.
Так менее чем за пять минут журналисты получили полный доступ к ученикам одной из средних школ в районе. В профиле каждого ученика можно увидеть расписание занятий, имя, фотографию и ссылки на социальные сети. Также пользователям можно отправлять сообщения. При этом приложение Saturn не проверяло принадлежность к школе.Скриншот из приложения после успешной регистрации и заявление компании о безопасности
Авторы эксперимента подчеркнули, что компания не соблюдает принципы, заявленные на сайте, а данные об учениках могут быть использованы злоумышленниками для организации слежки. При этом приложение Saturn продолжает набирать популярность в App Store в США.
Источник новости: habr.com