Tusinder af PhotoSquared-brugere står over for en databehandling
Som nogle af jer måske ved nu, leder Noam Rotem og Ran Locar et team af forskere ved VPN Mentor, der har til opgave et stort webkortkortprojekt, der er designet til at afdække og sikre dårligt beskyttede databaser, der lækker følsomme oplysninger. I løbet af de sidste par måneder har de rapporteret om en række massive dataovertrædelser og har virkelig vist, hvor ofte virksomheder ikke gør nok for at beskytte brugernes data. Rotem og Locar har indrømmet, at det ofte kræver dage med efterforskning og meget hårdt arbejde at finde ud af, hvem der lækker informationen. Med deres seneste opdagelse var dette imidlertid ikke tilfældet.
Under en port scanningsession opdagede Rotem og Locars team en AWS S3-spand, der var offentligt tilgængelig og ikke beskyttet af en adgangskode. Den indeholdt knap 95 GB data, og navnet på dens ejer var tilgængelig i URL - PhotoSquared.
Hvad er PhotoSquared?
Du har en bedre chance for at forstå omfanget af lækagen, hvis du ved, hvad PhotoSquared gør. Det ønsker at være et af det 21. århundredes svar på fotoudviklerens butik. I stedet for at gå ind på en fysisk placering og manuelt overlevere de fotos, du ønsker, i trykt form, bruger du simpelthen mobilappen til at vælge dine foretrukne snaps fra din kamerarulle eller sociale mediefeeds. En online betaling senere udskriver PhotoSquared dine fotos på 8 "x 8" -tavler og lægger dem tilbage til din adresse. Det lyder meget praktisk, hvilket sandsynligvis er grunden til, at mere end 100 tusind mennesker har downloadet appen fra Google Play. Forretningsmodellen betyder dog, at nogen et eller andet sted har til opgave at håndtere de personlige detaljer og yndlingsbilleder fra et stort antal brugere. Desværre gjorde nogen ikke et meget godt stykke arbejde.
En forkert konfigureret S3-spand lækker fotos og personlige oplysninger fra hundreder af tusinder af brugere
Størrelsen på databasen var en temmelig god gave til, hvad den indeholdt. Da de åbnede den, fandt Noam Rotem og Ran Locar omkring 1 million poster, der indeholdt:
- Brugernes fotos forberedt til redigering og udskrivning
- Bestil poster og kvitteringer gemt som PDF-dokumenter
- Etiketter og forsendelsesinformation
- Brugernes navne
- Hjem og leveringsadresser
Det er vanskeligt at sige, hvor mange mennesker, der er berørt af lækagen, men forskerne påpegede, at oplysningerne i databasen blev indsamlet mellem november 2016 og januar 2020, hvilket er en betydelig tidsperiode. Som eksperterne også bemærkede, er de potentielle konsekvenser ret skræmmende.
En kombination af private fotos og personlige oplysninger (inklusive hjemmeadresser) kunne give en potentiel indbrudstyver en ret god indsigt i deres måls liv. Derudover kan de lækkede detaljer fungere som et udgangspunkt for yderligere rekognosering og yderligere kriminel aktivitet.
Rotem og Locar opdagede den ubeskyttede spand den 30. januar og nåede ud til appens udvikler den 4. februar. Det tog PhotoSquared ti hele dage at sikre databasen, men heldigvis er den nu offline. Der er ingen bevis for, at nogen misbruger de udsatte data, hvilket betyder, at vi kun kan gøre mere end håb om, at alle har lært deres erfaringer.
Hændelsen er den næste i en meget lang række af dystre påmindelser om, at selvom apps som PhotoSquared bringer en sund dosis bekvemmelighed og nyhed i vores liv, betyder det at bruge dem ofte at stole på dem med en hel del ekstremt følsomme personlige oplysninger. Dette er noget, vi sandsynligvis skal huske, inden vi trykker på knappen Install.
Overtrædelsen skal også minde udviklerne af disse apps om, at håndtering af data fra hundreder af tusinder af mennesker er et enormt ansvar. Enkle fejlkonfigurationsfejl som den, PhotoSquared er foretaget, skal være helt utålelige.
