En chokerende nøglering App-datalækage har udsat 14 millioner brugere

Hvis du stadig mener, at alvorlige datalækager ikke er så almindelige, har vi en historie, der muligvis bare er ved at ændre mening. I januar fandt et team af forskere under ledelse af Noam Rotem og Ran Locar en dårligt konfigureret AWS S3-spand, der udsatte en stor mængde information. Desværre indrømmede eksperterne i deres artikel til vpnMentor, at de var så travlt med at rapportere andre datalækager på det tidspunkt, at de ikke umiddelbart kunne undersøge problemet og underrette de personer, der var ansvarlige for eksponeringen. Det var først omkring en måned senere, at de endelig kom rundt og arbejdede med netop denne lækage.

Tjenesteudbydere kæmper stadig med at få fat på de sikkerhedsmekanismer, der tilbydes af cloud-opbevaringsløsninger, og lækager vises til venstre, højre og centrum. Eksperterne kan ikke følge med, og som altid overlades den intetanende bruger til at bære konsekvenserne. I dette tilfælde var de potentielle konsekvenser enorme.

Key Ring-appen udsætter brugernes digitale tegnebøger for hele verden

Den første spand, som forskerne fandt, indeholdt hele 44 millioner billeder. Det er en masse data, men den virkelig chokerende del er arten af de udsatte oplysninger. Når de fandt tid til at undersøge, fandt forskerne ud af, at den forkert konfigurerede S3-spand tilhørte Key Ring - en mobilapplikation, der blandt andet giver dig muligheden for at digitalisere det meste af indholdet af din tegnebog. Det giver dig mulighed for at fotografere og gemme virtuelle kopier af tanker som medlemskort og gavekort. Nogle af de 14 millioner mennesker, der bruger appen, har også uploadet scanninger af deres kreditkort og personlige ID-dokumenter. Mens de gjorde det, troede de sandsynligvis, at deres data ville blive gemt sikkert. De tog forkert.

Den forkert konfigurerede S3-spand indeholdt scanninger af kreditkort, medlems- og loyalitetskort, medicinske cannabiskort, kørekort og andre identifikationsdokumenter. Billederne blev gemt helt klart, og de var tilgængelige overalt i verden. Du kan allerede se, hvor dårligt lækagen kan påvirke brugerne. Desværre var det ikke slutningen på det.

Key Rings forkert konfigurerede S3-spande lækkede masser af personlige oplysninger

I samme spand fandt forskerne nogle CSV-filer, der indeholdt personligt identificerbare oplysninger (PII), der tilhører millioner af mennesker. Disse mennesker var på medlemslisterne for Key Ring-partnere som Walmart, og listerne indeholdt et utal af personlige oplysninger som navne, adresser, fødselsdato osv.

Efter en smule mere rodning fandt Noam Rotem og Ran Locar's team fire mere fejlagtige S3-spande tilknyttet Key Ring. De indeholdt gamle øjebliksbilleder af appens database og eksponerede blandt andet brugernes e-mail- og hjemmeadresser, IP'er, enhedsinformation osv. Databaserne indeholdt også adgangskoder, som ifølge forskerne var "krypterede". Desværre er mekanismen til kryptering af dem uklar.

Det er også ukendt, om forskerne var de eneste, der formåede at finde de eksponerede data. Den 18. februar lykkedes det endelig at komme i kontakt med Key Ring og Amazon, og to dage senere blev spande trukket offline, men på dette tidspunkt ved vi ikke, hvornår de blev sat op i første omgang. Desværre skal vi påpege, at selv om informationerne blev sikret relativt hurtigt, er Key Rings holdning til hændelsen næppe eksemplarisk.

Når lækager som dette opstår forventer brugerne at modtage individuelle meddelelser, der fortæller dem, hvad der er sket, og hvad de har brug for at passe på. I mellemtiden forventer offentligheden en officiel meddelelse fra sælgeren, der også indeholder detaljer om hændelsen og om de forholdsregler, der er truffet for at sikre, at det ikke sker igen. Med nøglering har vi ikke set nogen af disse ting.

Mængden af de eksponerede data kombineret med manglen på officielt svar betyder, at vi ikke kan gøre andet end at antage, at alle 14 millioner Key Ring-brugere er berørt. Hvis du er en af dem, skal du være meget mere forsigtig, end du normalt er, især hvis du har gemt nogle følsomme data med appen.