Een app tegen huiselijk geweld die werd gelanceerd door de vrouw van Dr. Phil heeft duizenden opgenomen noodberichten van slachtoffers gelekt. De Aspire News App lijkt op het eerste gezicht op een normale nieuws-app. Slachtoffers van huiselijk geweld kunnen via de app eenvoudig hun vrienden en familie waarschuwen wanneer ze gevaar lopen of misbruik plaatsvindt.

Hiervoor moet de bovenkant van de app drie keer wordt aangeraakt, waarna de app een al eerder geschreven tekstberichtje of opgenomen noodbericht en de huidige locatie van het slachtoffer naar een vertrouwd contact verstuurd. De ontwikkelaars van de app hadden vierduizend door slachtoffers opgenomen noodberichten in een verkeerd geconfigureerde Amazon Web Services (AWS) S3-bucket opgeslagen. De bestanden waren daardoor voor iedereen op internet toegankelijk.

In sommige van deze berichten noemden slachtoffers hun naam, persoonlijke situatie, adresgegevens, de naam van de dader en het verzoek om de politie te bellen. Onderzoekers Noam Rotem en Ran Locar van vpnMentor ontdekten de bestanden op 24 juni en waarschuwden vervolgens de app-ontwikkelaars en Amazon, waarna de S3-bucket dezelfde dag nog werd beveiligd. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. In dit geval waren de instellingen aangepast waardoor de bucket wel voor iedereen benaderbaar was.

Source