De database van 'familietracker-app' Family Locator met meer dan 238.000 gebruikers erin stond onversleuteld en onbeveiligd online. Wie wist waar hij moest kijken, kon persoonsgegevens, wachtwoorden, profielfoto's en realtime-locatiedata opzoeken.
De MongoDB-database bevatte namen, e-mailadressen, profielfoto's, plaintext-wachtwoorden, precieze realtime-locatiedata en geofences als 'school' en 'thuis' inclusief coördinaten. Volgens security-onderzoeker Sanyam Jain, die met het probleem naar TechCrunch stapte, was de database van de iOS-app 'wekenlang' blootgesteld.
TechCrunch verifieerde de database door zelf een dummy-account aan te maken, dat prompt verscheen tussen de gegevens van alle andere gebruikers. Daarnaast nam de site contact op met een gebruiker in Florida, die bevestigde dat de gegevens in de database aan hem en zijn kind toebehoorden.
TechCrunch wist alleen geen contact te krijgen met de maker van de app, het Australische React Apps. De mogelijkheden om contact op te nemen met de ontwikkelaar zijn beperkt en React Apps reageert niet. Uiteindelijk heeft TechCrunch met Microsoft contact opgenomen, dat de database host op zijn Azure-dienst. Enkele uren daarna ging de hele database offline.