A Money Lover pénzügyi alkalmazás egy hibája lehetővé tette, hogy a bejelentkezett felhasználók láthassák a többi felhasználó megosztott pénztárcájához társított e-mail címét és az élő tranzakciókra vonatkozó metaadatokat. A hiba az alkalmazás Android, iOS és Windows verzióit is érintette.
A népszerű (közel öt millió telepítésű) pénzügyi alkalmazás segít a felhasználóknak kezelniük a kiadásaikat és költségvetéseiket, továbbá ún. megosztott pénztárcák létrehozását is lehetővé teszi, hogy például családtagjaikkal és barátaikkal együtt kezelhessék, illetve naplózhassák a közös kiadásokat. A megosztott pénztárca általában meghívás alapú és olyan felhasználók veszik igénybe, akik jellemzően ismerik egymást, így elvárás az adatok és e-mail címek egymás közötti megosztása.
Csakhogy a Trustwave elemzője, Troy Driver arra lett figyelmes, hogy a megosztott pénztárcákhoz társított tranzakciós adatok és e-mail címek az alkalmazás bármely bejelentkezett felhasználója számára elérhetők.
A jelentés szerint ezek az adatok megtekinthetők a Web Sockets lapon a böngésző „Fejlesztői eszközök” menüpontjában. Ennek kockázata, hogy az adatokhoz olyan rosszindulatú szereplők is hozzáférhettek, akik a jövőben az így megszerzett adatokat további rosszindulatú műveletekhez, például adathalász támadásokhoz használják fel. A hiba minden olyan felhasználót érint, aki használja a megosztott pénztárca funkciót. A Trustwave jelentette a problémát a Money Lover kiadójának, a Finsify-nek, akik 2023. január 27-én javító frissítést adtak ki az alkalmazásukhoz.
A Money Lover felhasználóinak mindenképp javasolt az alkalmazás mielőbbi frissítése.
