Ошибка Эдисона позволила доступ к учетным записям электронной почты других пользователей

Разработчики Edison Mail откатили обновление почтового приложения, выпущенного в пятницу, после того, как некоторые пользователи обнаружили проблему безопасности в новой функции синхронизации, где были доступны учетные записи других людей.

В пятницу Эдисон получил новую функцию, которая позволяла пользователям стороннего приложения электронной почты синхронизировать свои учетные записи на своих устройствах Apple, включая Mac и iPhone. Функция синхронизировала «соединения по электронной почте» между устройствами, но ошибка в программном обеспечении привела к непредвиденным последствиям.

Пользователи размещали сообщения в социальных сетях, где учетные записи электронной почты совершенно незнакомого человека появлялись на их устройствах, а не на их собственных, как сообщает The Verge. Кроме того, учетные записи появлялись, не требуя какой-либо аутентификации от первоначального пользователя, с содержанием, немедленно доступным для зрителя.

В пятницу, в 10:50 вечера по тихоокеанскому времени, для небольшой части пользователей iOS была введена ошибка безопасности. Мы откатили это обновление обратно. Все затронутые пользователи выходят из системы и должны будут повторно войти в систему.

— Эдисон (@Edison_apps) 16 мая 2020 г.

Спустя десять часов после его обнаружения Эдисон подтвердил, что в приложении был недостаток, который испытал «небольшой процент нашей пользовательской базы». Компания быстро откатила обновление и начала связываться с затронутыми пользователями, чтобы уведомить их об инциденте и возможности того, что кто-то еще мог иметь временный доступ к их учетным записям электронной почты.

В рамках исправления все затронутые пользователи были принудительно отключены от приложения, чтобы разорвать все оставшиеся соединения, и потребовали от пользователей повторной аутентификации в приложении.

В феврале Эдисон был идентифицирован как одно из ряда приложений, которые собирали данные о своих пользователях, отслеживая содержимое пользовательских сообщений, чтобы предоставлять кнопки одним щелчком для действий и готовых ответов. В февральском отчете утверждалось, что Эдисон продавал данные клиентам из сферы финансов, путешествий и электронной коммерции, получая данные из электронных писем пользователей.

В то время его разработчики защищали анализ, утверждая, что он игнорирует личную и рабочую электронную почту, извлекает только анонимную информацию о покупках из коммерческих электронных писем и позволяет пользователям отказаться от обмена данными с его исследовательским проектом.