Наприкінці вересня 2025 року додаток Neon стрімко піднявся у рейтингах Apple App Store США — до другого місця, пропонуючи незвичну модель монетизації: сервіс платив за запис телефонних розмов і продавав анонімізовані дані компаніям, що працюють з ШІ. Однак одразу після злету журналісти виявили критичну уразливість доступу, яка відкривала шлях до чужих номерів, аудіо та транскриптів. Після публікацій сервіс було тимчасово відключено.
Neon: модель монетизації голосових дзвінків і стрімке зростання
За даними сайту Neon Mobile, користувачі отримували 0,30 долара за хвилину за дзвінки між абонентами Neon і до 30 доларів на день за інші розмови; діяла реферальна програма. Зібрані записи та транскрипти компанія реалізовувала організаціям для навчання та тестування моделей ШІ. За оцінкою Appfigures, лише 24 вересня 2025 року додаток завантажили понад 75 000 разів, що вивело його у топ‑5 категорії «Соціальні мережі» в американському App Store.
Що виявили журналісти: несанкціонований доступ до чужих записів
Під час тестування TechCrunch зафіксував дефект серверної авторизації. Дослідники створили окремий обліковий запис на іншому iPhone, підтвердили номер і, використовуючи Burp Suite для аналізу трафіку, виявили, що сервер не перевіряє права доступу на рівні об’єктів. Це дозволяло авторизованому користувачу отримувати дані інших акаунтів.
Масштаб і тип витоку: аудіо, транскрипти та метадані викликів
У відповідях API додаток повертав посилання на аудіофайли та текстові розшифрування дзвінків. Ці URL відкривалися за наявності прямої адреси, без додаткової перевірки. Ба більше, сервер надавав списки останніх викликів довільних користувачів з метаданими: номери обох сторін, час і тривалість розмов, а також суму винагороди за запис. За спостереженнями журналістів, у низці випадків фіксувалися розмови користувачів Neon із третіми особами, які могли не знати про запис, що посилювало ризики для приватності сторонніх учасників.
Класифікація уразливості: Broken Access Control (IDOR) з OWASP Top 10
Технічно інцидент відповідає класу Broken Access Control / IDOR — провідній загрозі в OWASP Top 10, коли відсутня коректна перевірка повноважень доступу до конкретних ресурсів (записів, транскриптів, метаданих). Наслідки — експозиція персональних ідентифікаторів (номери телефонів) та чутливого вмісту (аудіо й текст розмов), що створює ґрунт для фішингу, шантажу, дооксингу і зловмисного збагачення профілів жертв.
Реакція компанії та відкриті питання безпеки
Співзасновник Neon Алекс Кіам після повідомлення журналістів зупинив роботу серверів і надіслав користувачам повідомлення про паузу «для додавання додаткових рівнів безпеки». Конкретної згадки про уразливість у комунікації не було. Представники Neon не уточнили, чи проводився незалежний аудит безпеки до релізу та чи існують журнали, які дозволяють оцінити можливі несанкціоновані доступи. Терміни відновлення сервісу невідомі. Apple і Google не відповіли на запити щодо відповідності застосунку їхнім правилам.
Як запобігти подібним витокам: практики безпеки для мобільних застосунків
Ключові інженерні заходи: жорстка авторизація на рівні об’єктів (ACL/ABAC), перевірка «власника» ресурсу перед віддачею, принцип найменших привілеїв, відмова від відкритих прямих URL до медіа на користь краткоживучих підписаних посилань з повторною перевіркою сесії, сегментація даних і ізоляція середовищ.
Безпечний SDLC і виявлення аномалій доступу
Безпеку варто вбудовувати в SDLC: моделювання загроз, тест-кейси на несанкціонований доступ до чужих об’єктів, регулярні SAST/DAST-скани, рев’ю API, пентести і програми bug bounty. Критично важливими є централізоване логування та моніторинг, що допомагають виявляти масові вигрузки. Шифрування в транзиті та на зберіганні необхідне, але не замінює коректної авторизації. Для продуктів із голосом і транскриптами потрібні privacy-by-design та прозорі механізми згоди.
Що варто знати користувачам: мінімізуйте сліди та контролюйте дозволи
Перед встановленням сервісів із монетизацією персональних даних уважно читайте політики обробки та доступів, обмежуйте дозволи на мікрофон і контакти, а у разі сумнівів — оперативно відкликайте доступ і видаляйте акаунт. Звертайте увагу на репутацію розробника, наявність незалежних аудитів та прозорі механізми видалення даних.
Історія з Neon — показовий приклад того, як один дефект контролю доступу перетворює модну бізнес‑модель на ризик для приватності сотень тисяч користувачів. Розробникам варто ставити перевірку авторизації та безпеку API в топ пріоритетів релізів, а бізнесу — планувати бюджет на пентести й моніторинг. Користувачам — зважено обирати застосунки й дбати про цифрову гігієну. Це зменшує площу атаки і створює здорову екосистему, де інновації не йдуть урозріз із безпекою.
