Et årti's værdi af private brugerdata er blevet eksponeret af Rallyhood

Da Zack Whittaker fra TechCrunch kom i kontakt med Rallyhood for at tale om en forkert konfigureret S3-spand, der udsatte en hel del brugerdata, fik han oprindeligt at vide, at den utætte database kun blev brugt til testformål, og at folks faktiske oplysninger blev opbevaret 'i en højt sikret spand. ' Senere leverede Chris Alderson, Rallyhoods teknologichef, en anden version af begivenhederne. Han indrømmede, at der under et migreringsprojekt 'tilladelser blev fejlagtigt åben' på en af virksomhedens opbevaringsskovle i "en kort periode." I skrivende stund er dette det eneste stykke information, som Rallyhood har delt med resten af verden om hændelsen, og det må siges, at dette næppe er ideelt i betragtning af mængden og arten af de lækkede data.

En anden dag, en anden lækker S3-spand udsætter filerne for millioner af brugere

Lækagen blev opdaget af en sikkerhedsforsker, der foretrækker at blive kendt af sit Twitter-greb, Tidløs. Tidløs besluttede at bruge TechCrunchs indflydelse for at sikre, at dataene sikres så hurtigt som muligt, hvilket i lyset af Rallyhoods forretning og enorme brugerbase faktisk var den mest presserende opgave.

Webstedets popularitet fik et massivt løft, da Yahoo meddelte, at det var ved at øse Yahoo Groups, og horder af mennesker flyttede deres diskussioner til Rallyhood. Vi skal dog påpege, at Rallyhood er meget mere end bare en messaging-bestyrelse. Det er også en samarbejdsplatform, der bruges af organisationer i alle former og størrelser med det formål at organisere og spore opgaver og begivenheder. Dette betyder, at Rallyhood er nødt til at behandle og gemme en masse data.

Virksomheden vil ikke sige, hvor mange aktive brugere platformen har, og at estimere det nøjagtige antal mennesker, der er berørt af lækagen, er ikke rigtig muligt i øjeblikket. Det, vi ved, er, at S3-spanden indeholdt en kæmpe 4.1TB data, og at den takket være en alt for almindelig konfigurationsfejl var offentligt tilgængelig uden en adgangskode. Ifølge Zack Whittaker var URL'et også "let at gætte", hvilket gjorde muligheden for, at nogen fik hånden på oplysningerne endnu mere reelle.

Nogle af de udsatte data er ekstremt følsomme

Whittaker gennemgik nogle af filerne og fandt kontaktoplysninger, der gjorde det muligt for ham at komme i kontakt med de berørte brugere og verificere ægtheden af lækagen. Desværre, ud over telefoner og e-mail-adresser, indeholdt spanden meget mere information.

TechCrunchs reporter fandt noget fra kontrakter og tilladelsessedler til aftaler, der ikke blev afsløret og lister over delte adgangskoder, der bestemt ikke skulle være offentligt tilgængelige. Som vi allerede nævnte, forsøgte Rallyhoods CTO at gøre en vis begrænsning af skader ved at fortælle TechCrunch, at eksponeringen ikke varede længe, men han foretrak ikke at sige, hvor "kort" den "korte periode" var. Det, vi ved med sikkerhed, er, at nogle af filerne i den lækkede database havde et 2011-tidsstempel. Trods det faktum, at der næsten var et årti værd med private filer i den forkert konfigurerede database, nægtede Rallyhood at fortælle TechCrunch, om virksomheden har nogen planer om at informere de potentielt berørte personer om det.

Alt i alt har Rallyhood indtil videre demonstreret en tydelig mangel på gennemsigtighed i sin håndtering af det, der uden tvivl er en temmelig alvorlig datalækage. Virksomheden begik tydeligvis en fejl, hvilket næppe er en god ting, men det virkelig dårlige indtryk kommer fra det faktum, at det fungerer som om det ikke er villig til at acceptere ansvaret.