Kwa sababu ya uwezekano wa kuathiriwa na programu ya KigaRoo, zaidi ya data milioni mbili za watoto wachanga ziliachwa wazi kwenye Mtandao. Pengo sasa limefungwa. Data kutoka kwa programu ya kulelea watoto mchana ya KigaRoo ilipatikana kwa muda mtandaoni – ikijumuisha data ya watoto. Lordn – Shutterstock.com Mtafiti wa usalama Florian Hantke hivi majuzi aligundua udhaifu wa kiusalama katika mtoa huduma wa programu ya kulelea watoto mchana KigaRoo. Kama huduma ya habari ya Netzpolitik.org inavyoripoti, seti milioni mbili za data kutoka kwa watu wazima na watoto zilipatikana kwa muda kwenye Mtandao. Programu ya KigaRoo inatumika, miongoni mwa mambo mengine, kushughulikia usimamizi wa wafanyikazi na kudhibiti orodha za kungojea kwa maeneo ya kulelea watoto. Kwa kuongeza, wazazi wanaweza kuona maelezo kuhusu watoto na kuweka kutokuwepo katika eneo tofauti na data ya mtu binafsi ya kufikia. Kulingana na taarifa zake mwenyewe, mtoa huduma huweka umuhimu mkubwa kwa usalama wa data. “Hakuna mtu mwingine isipokuwa wewe, wafanyakazi wako na watu wa kumbukumbu walioidhinishwa wanaweza kuona data ya kituo chako ambacho umeidhinisha kibinafsi,” anasema Kigaroo. Ukaguzi wa uidhinishaji usio sahihi Hata hivyo, ripoti ya Hantke inaonyesha picha tofauti. Mtaalamu huyo wa usalama aligundua kuwa kwa kutumia akaunti ya majaribio bila malipo, unaweza kupata kiasi kikubwa cha data kwa kupiga baadhi ya URL. “Udhaifu unaohusiana haswa na ukaguzi wa uidhinishaji uliokosekana au usio sahihi,” anaelezea Hantke. Hii inamaanisha kuwa mtu yeyote aliyejua au kubahatisha umbizo la URL alilazimika kubadilisha kitambulisho cha mtumiaji ili kupata ufikiaji wa seti husika ya data. Kulingana na mtafiti, maswali kama haya yanaweza kufanywa kwa kutumia kitambulisho chochote kilicho na nambari ya nambari saba. “Kwa kuwa vitambulisho vyote vilivyotajwa vilikuwa vya nambari na hivyo vingeweza kuhesabiwa kwa urahisi, data kutoka kwa watumiaji wote pengine inaweza kupatikana,” anafafanua Hantke. Mtaalamu huyo wa usalama anadhania kuwa kulikuwa na seti 1,290,000 za data za watu wazima na seti 846,00 za data za watoto, “ambazo zilijumuisha marejeleo ya kituo hicho pamoja na maelezo ya mawasiliano, anwani, maelezo ya benki, hali ya mkimbizi na mengineyo”. Walakini, inawezekana kwamba kulikuwa na akaunti za majaribio kati yao. Mtafiti wa masuala ya usalama aliifahamisha KigaRoo mara moja kuhusu uwezekano huo. Mtoa programu kisha akafunga pengo. Aidha, KigaRoo imebadilisha vitambulisho (vitambulisho) na UUIDs (Universally Unique Identifiers), ambayo inafanya kubahatisha kuwa ngumu zaidi, inaendelea kusema. Aidha, KigaRoo pia imeripoti kesi hiyo kwa mamlaka inayohusika ya ulinzi wa data. Mamlaka iliiambia Netzpolitik.org kuwa ni pengo la kitambo la IDOR (Rejeleo la Kipengee Isichokuwa na Usalama). Mamlaka ya ulinzi wa data pia ilithibitisha kuwa hakukuwa na ufikiaji mwingine wa data mbali na ufikiaji wa mtafiti wa usalama. Mtoa programu pia ametoa wazi kabisa. KigaRoo inaiambia Netzpolitik.org kwamba inaweza “dhahiri kuondoa” uwezekano kwamba ufikiaji usioidhinishwa wa data umetokea. Kampuni pia inasisitiza kwamba “hakuna data iliyofunguliwa” – kwa sababu akaunti ya majaribio ilikuwa muhimu (KigaRoo inaziita akaunti hizi “akaunti za msimamizi”). “Uhatarishi ulioripotiwa ungeruhusu ufikiaji wa dondoo za rekodi za kibinafsi zilizorekodiwa katika KigaRoo, lakini kupitia akaunti nyingine ya msimamizi.”