Мобильные приложения хранят огромные объёмы личных данных пользователей — от переписок и фотографий до банковской информации и геолокации. Однако уязвимости и ошибки в защите могут привести к масштабным утечкам.
Так, в 2025 году после взлома приложения для знакомств Tea в сеть попали 72 тысячи пользовательских фото. Ещё более крупный инцидент затронул популярное AI-приложение Chat & Ask AI: исследователи обнаружили открытую базу с 300 млн сообщений 25 млн пользователей. Всего специалисты выявили сотни мобильных приложений, раскрывающих данные.
Одной из ключевых причин утечек Евгений Царев называет уязвимость IDOR — ошибку в контроле доступа, которая позволяет злоумышленникам получать доступ к чужим данным через подмену идентификаторов в запросах к серверу.
Евгений Царев:
Представьте, что вы смотрите историю своих заказов, и в адресной строке браузера или в сетевом запросе приложения видите order_id=100500. Меняем это число на 100501 и внезапно видим чек, адрес, телефон и состав заказа совершенно постороннего человека.Источник: КиберБолоид
