Mere end 20 millioner filer er lækket af 9 forskellige dating-apps

Dating Apps Data Leak

For at bevise, hvor farlige usikrede databaser kunne være, fyldte en gruppe forskere for nylig en Elasticsearch-installation med dummy-data, bevidst fejlagtigt konfigurerede dem og ventede på at se, hvor lang tid det ville tage for hackerne at finde dem og begynde at skrabe informationen. Det første angreb blev vidnet inden for otte timer efter, at databasen kom online, og i løbet af de næste ti dage fik man adgang til honningpladen i gennemsnit 18 gange om dagen. Disse resultater skal være særligt foruroligende for brugerne af et par nichedating-apps, som, som du måske allerede har gættet, havde nogle af deres data gemt i en dårligt sikret database.

Mindst ni dating-apps udsatte eksplicitte brugerdata i en usikret S3-spand

Det er det seneste i en meget lang række opdagelser, der er gjort af VPNMentors forskerteam, ledet af Noam Rotem og Ran Locar. Som en del af deres massive webmapping-projekt lokaliserede de en usikret Amazon Web Services S3-spand den 24. maj. I alt indeholdt databasen 20,4 millioner filer, der vejer 845 GB.

En af de interessante ting ved databasen var, at de personligt identificerbare oplysninger, den udsatte, var begrænsede. Der var dog ganske mange mediefiler, og vi er ret sikre på, at deres ejere ville have ønsket, at de skulle forblive private. Der var mange seksuelt eksplicitte fotos med ansigter synlige på dem, skærmbilleder af chat-samtaler, stemmemeddelelser samt detaljer om økonomiske transaktioner.

For at beskytte de udsatte brugeres privatliv besluttede forskerne ikke at gennemgå dataene grundigt, hvilket betyder, at det er umuligt at korrekt estimere det nøjagtige antal berørte personer. Rotem og Locar sagde dog i deres rapport, at hundreder af tusinder og muligvis millioner af brugere er involveret.

Dataene blev lækket af flere dateringsapplikationer. Forskernes undersøgelse førte dem til et firma kaldet "Cheng Du New Tech Zone", som var opført i kontaktsektionen i flere hookup-applikationer på Google Play. Lighederne i apps 'webstedsdesign bekræftede, at de sandsynligvis er udviklet af den samme gruppe mennesker. Her er listen:

  • GHunt
  • Herpes Dating
  • SugarD
  • Casualx
  • BBW Dating
  • Xpal
  • Bøsse far
  • Cougary
  • 3somes

Eksperterne er sikre på, at disse ni applikationer var involveret i overtrædelsen, men de regner med, at brugere af andre apps af den samme udvikler også kan blive berørt.

Konsekvenserne af lækagen kan være forfærdelige

Den gode nyhed er, at dataene ikke længere er online. To dage efter at have opdaget den utæt skovl brugte forskerne kontaktformen til en af de berørte apps, og til deres overraskelse modtog de næsten øjeblikkeligt svar. VPNMentors team svarede på anmodningen om mere information ved at sende URL'en til en af databaserne. På trods af det faktum, at udvikleren besluttede ikke at kommunikere videre med forskerne, blev alle data trukket offline inden for 24 timer. Fra skrivende stund ser det ud til, at nogle af apps også er blevet fjernet fra Google Play.

Dette er alt sammen godt og godt, men naturligvis burde udvikleren ikke have begået fejlen i første omgang. Som du kan se, taler vi ikke om dine typiske Tinder-konkurrenter. Apperne er rettet mod mennesker med specifikke seksuelle præferencer og fetisjer, der kunne stigmatiseres. De, der bruger dem, ønsker sandsynligvis ikke at annoncere det offentligt, og de vil bestemt ikke ønske at udsætte de billeder og samtaler, de deler med hinanden. Hvis dataene falder i de forkerte hænder, kan kriminelle lække billederne, dox de berørte personer eller udpresse dem. Job kunne gå tabt, familier kunne brydes, og omdømme kunne ødelægges.

Vedligeholdelse af dating-apps bærer altid en højere grad af ansvar. Folk stoler på disse produkter med deres mest intime hemmeligheder undertiden, og vi kan med sikkerhed sige, at i tilfælde af Cheng Du New Tech Zones dating-applikationer, var deres tillid forkert placeret. Det eneste, de kan gøre nu, er håb om, at trods konklusionerne i det forskningsdokument, vi talte om i første afsnit, ingen andre end VPNMentors eksperter så de eksplicitte data.

June 16, 2020
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.