Dating-apps er ikke i stand til at beskytte deres kunder igen: 6 apps lækker millioner af poster

Six Dating Apps Leak Millions of Records

En af de ting, vi elsker ved internettet mest, er det faktum, at vi kan finde så meget information om det. Mærkeligt nok er en af de ting, vi hader ved internettet mest, også det faktum, at vi kan finde så meget information om det. Sikkerhedsforskere fra WizCase opdagede for eksempel for nylig, at hvis de vidste, hvor de skal kigge, kunne brugere af seks dating-apps finde deres personlige oplysninger eksponeret i databaser, der ikke var beskyttet med en adgangskode og var tilgængelige overalt i verden.

Fem dårligt sikrede databaser lækker millioner af poster fulde af personlige oplysninger

Eksperterne opdagede tre ElasticSearch-installationer, en Amazon S3 Bucket og en MongoDB-database udsat for internettet og tilgængelig uden nogen form for godkendelse. To af sælgerne er USA-baserede, to er placeret i Sydkorea, og en opererer i Japan, og de kører alle datingwebsteder og applikationer. Her er navnene på tjenesterne og de data, de lækkede:

  • CatholicSingles.com

    • S3-skovlen vejes ind på kun 17MB og havde en noget beskeden 50 tusind poster. De fleste af profilerne ser ud til at være forbudt, men den sidst registrerede aktivitet er nylig, hvilket viser at de lækkede data sandsynligvis er gyldige. Det inkluderer ting som navne, e-mail-adresser, telefonnumre, alder, køn, erhverv, faktureringsadresser, betalingsmetoder osv.

  • SPYKX.com

    • SPYKX.com er en sydkoreansk leverandør, der udvikler og driver adskillige forskellige tjenester. En af dem er en datingapplikation kaldet Condaq / Kongdak, og af en eller anden grund har udvikleren besluttet, at det ville være en god ide at placere nogle af appens brugerdata på en ubeskyttet ElasticSearch-server. Omkring 123 tusind poster udsatte 600MB personlige oplysninger værd, inklusive e-mail-adresser, almindelige adgangskoder, fødselsdato og endda GPS-data.

  • Tiki

    • Tiki er angiveligt "en ny type dating-app", og ifølge sit websted har brugeren kontrol over den type personlige oplysninger, som potentielle datoer kan se. Denne påstand er især ironisk i betragtning af, at Tiki's udvikler anbragte nogle af de nævnte oplysninger i en MongoDB-database, der var tilgængelig med en simpel browser. Lidt over 4.000 poster blev eksponeret, og de inkluderede alt fra brugervurderinger og aktivitetslogfiler til navne, telefonnumre, datosteder osv.

  • sløret

    • Sløret er et sydkoreansk datingapplikation, der lader brugere sløre skærmen under videoopkald. Det er angiveligt rettet mod brugere, der er for genert til at interagere eller ikke er meget sikre på deres udseende, og du kan kun forestille dig, hvordan disse mennesker vil føle sig, når de får at vide, at nogle af deres private samtaler blev udsat af en dårligt konfigureret ElasticSearch-server. De 70 tusind poster indeholdt ingen personlige detaljer, men de lækkede meddelelser var fulde af WhatsApp-numre, Instagram-håndtag og andre oplysninger, der kunne udsætte offeret for alle mulige angreb.

  • Charin og Kyuun

    • Endnu en anden forkert konfigureret ElasticSearch-database tilhører udviklerne af Charin og Kyuun - to japanske apps, der ser ud til at være drevet af det samme firma. Det var den største lækage, med 57 GB eksponerede data og lidt over 100 millioner poster åbne for offentligheden. Foruroligende indeholdt databasen ud over bruger-id'er, information om mobilenheder og søgepræferencer e-mail-adresser og adgangskoder i almindelig tekst.

Det var allerede en temmelig betydelig lækage, men WizCases undersøgelse stoppede ikke der.

Eksperterne kunne ikke identificere ejere af yderligere seks ubeskyttede databaser

Forskerne opdagede seks mere usikrede databaser fulde af data. Endnu en gang blev brugerne af datingtjenester berørt, men denne gang så det ud til, at udviklerne ikke var ansvarlige for lækagen.

Eksperterne formåede at knytte dataene til flere apps - Zhenai, Say Love, Netease, Love Chat og Companion. De sagde imidlertid, at databaserne ikke indeholdt nogen personligt identificerbare oplysninger og sandsynligvis var resultatet af skrabning på nettet. De siger også, at cyberkriminelle kan bruge oplysningerne i dem til at identificere andre offentligt tilgængelige profiler og potentielt få adgang til mere følsomme data.

Hvad skal brugere passe på?

Det er aldrig sjovt at se dating-apps lække brugerdata. Selvom de tjenester, vi taler om i dag, ikke er så niche som dem, vi diskuterede for et par uger siden, er de berørte personer måske ikke nødvendigvis ivrige efter at hele verden ved at vide, at de bruger dem.

Desværre, da så mange apps er involveret, har vi ingen måde at vide, hvor mange mennesker der er berørt af lækagerne. Hvad vi imidlertid ved, er, at hvis du har brugt nogen af de tjenester, der er nævnt i denne artikel, skal du være meget mere forsigtig, end du normalt er. Dataene i nogle af databaserne kan give cyberkriminelle alt hvad de har brug for for at efterligne dig og stjæle din online identitet. Hvad mere er, de kan bruge det til at finde mere information om dig og montere yderligere angreb.

Afpresning forsøg baseret på det faktum, at du bruger en dating-app, er i nogle tilfælde ikke ude af tvivl, og de eksponerede almindelige adgangskoder vil næsten helt sikkert blive brugt i legitimationsstoppningsangreb.

I Duran
July 7, 2020
News
Dansk
July 7, 2020
News

Populære opslag

Microsoft advarer om statsstøttede trusselsaktører, der bruger...

4 days siden

Trojan Al11 Malware Detektion

11 months siden

Pinaview er en fuldt udstyret adware-app

10 months siden

Pop-ups "Din iCloud bliver hacket" og "Din iPhone er blevet...

7 months siden

Hvad er Lucky Ransomware?

7 months siden

'American Express - Opdater dine kontooplysninger' E-mail-fidus

6 months siden
Dansk
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.