Η αξία μιας δεκαετίας των ιδιωτικών δεδομένων χρήστη έχει εκδηλωθεί από τη Ράλλυ

Όταν ο Zack Whittaker από την TechCrunch έρχεται σε επαφή με το Rallyhood για να μιλήσει για έναν κακοσχηματισμένο κάδο S3 που έδειξε πολλά δεδομένα χρήστη, είχε αρχικά ενημερωθεί ότι η βάση δεδομένων διαρροής χρησιμοποιήθηκε μόνο για σκοπούς δοκιμής και ότι οι πραγματικές πληροφορίες πολύ ασφαλή κάδο ». Αργότερα, ο Chris Alderson, Γενικός Διευθυντής Τεχνολογίας της Rallyhood, παρείχε μια διαφορετική εκδοχή των γεγονότων. Παραδέχθηκε ότι κατά τη διάρκεια ενός προγράμματος μετανάστευσης, οι "άδειες αφέθηκαν λανθασμένα ανοιχτές" σε έναν από τους κουβάδες αποθήκευσης της εταιρείας για "μια σύντομη περίοδο". Τη στιγμή της συγγραφής, αυτή είναι η μόνη πληροφορία που η Rallyhood έχει μοιραστεί με τον υπόλοιπο κόσμο σχετικά με το περιστατικό και πρέπει να ειπωθεί ότι αυτό δεν είναι καθόλου ιδανικό, δεδομένης της ποσότητας και της φύσης των δεδομένων που διαρρέουν.

Μια άλλη μέρα, ένας άλλος διαρρηγμένος κουβάς S3 εκθέτει τα αρχεία εκατομμυρίων χρηστών

Η διαρροή ανακαλύφθηκε από έναν ερευνητή ασφαλείας ο οποίος προτιμά να είναι γνωστός από το χειριστήριό του Twitter, το Timeless. Ο Timeless αποφάσισε να χρησιμοποιήσει την επιρροή της TechCrunch προκειμένου να διασφαλίσει ότι τα δεδομένα θα είναι ασφαλή όσο το δυνατόν γρηγορότερα, γεγονός που, λόγω των επιχειρηματικών δραστηριοτήτων της Rallyhood και της τεράστιας χρηστικότητας, ήταν πράγματι το πιο επείγον έργο.

Η δημοτικότητα του ιστότοπου έλαβε μια τεράστια ώθηση όταν η Yahoo ανακοίνωσε ότι πρόκειται να τσεκούρει Yahoo Groups, και ορδές των ανθρώπων μετακόμισαν τις συζητήσεις τους στο Rallyhood. Θα πρέπει να επισημάνουμε, ωστόσο, ότι η Rallyhood είναι κάτι περισσότερο από ένα board messaging. Είναι επίσης μια πλατφόρμα συνεργασίας που χρησιμοποιείται από οργανισμούς όλων των μορφών και μεγεθών με σκοπό την οργάνωση και την παρακολούθηση εργασιών και εκδηλώσεων. Αυτό σημαίνει ότι η Rallyhood πρέπει να επεξεργαστεί και να αποθηκεύσει πολλά δεδομένα.

Η εταιρεία δεν θα πει πόσοι ενεργοί χρήστες της πλατφόρμας και εκτιμήσεις του ακριβούς αριθμού των ατόμων που επηρεάζονται από τη διαρροή δεν είναι πραγματικά δυνατή αυτή τη στιγμή. Αυτό που γνωρίζουμε είναι ότι ο κάδος S3 κρατούσε ένα τεράστιο 4.1 ΤΒ δεδομένων και ότι χάρη σε ένα πολύ κοινό σφάλμα διαμόρφωσης, ήταν προσιτό στο κοινό χωρίς κωδικό πρόσβασης. Σύμφωνα με τον Zack Whittaker, η διεύθυνση URL ήταν "εύκολα εικασμένη", η οποία έκανε τη δυνατότητα κάποιος να πάρει τα χέρια του στις πληροφορίες ακόμα πιο πραγματικό.

Μερικά από τα εκτεθειμένα δεδομένα είναι εξαιρετικά ευαίσθητα

Ο Whittaker εξέτασε μερικά από τα αρχεία και βρήκε στοιχεία επικοινωνίας που του επέτρεψαν να έρθει σε επαφή με τους επηρεαζόμενους χρήστες και να επαληθεύσει την αυθεντικότητα της διαρροής. Δυστυχώς, εκτός από τα τηλέφωνα και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, ο κουβάς περιείχε πολύ περισσότερες πληροφορίες.

Ο δημοσιογράφος της TechCrunch δεν βρήκε τίποτα από συμβάσεις και εξουσιοδοτήσεις για συμφωνίες μη γνωστοποίησης και καταλόγους κοινόχρηστων κωδικών πρόσβασης που σίγουρα δεν έπρεπε να είναι προσιτά στο κοινό. Όπως αναφέρθηκε ήδη, ο CTO της Rallyhood προσπάθησε να επιτύχει κάποιο περιορισμό ζημιών λέγοντας στην TechCrunch ότι η έκθεση δεν διαρκούσε πολύ, αλλά προτιμούσε να μην λέει πόσο σύντομη είναι η «σύντομη περίοδος». Αυτό που ξέρουμε είναι σίγουρο ότι ορισμένοι από τους φακέλους στη διαρρεόμενη βάση δεδομένων είχαν μια χρονική σήμανση για το 2011. Δυστυχώς, παρά το γεγονός ότι υπήρχαν ιδιωτικά αρχεία αξίας σχεδόν δεκαετίας στην λανθασμένη βάση δεδομένων, η Rallyhood αρνήθηκε να πει στην TechCrunch εάν η εταιρεία έχει σχέδια να ενημερώσει τα δυνητικά επηρεασμένα άτομα για αυτό.

Συνολικά, μέχρι στιγμής, η Rallyhood έχει επιδείξει μια ξεκάθαρη έλλειψη διαφάνειας όσον αφορά το χειρισμό της αναμφίβολα μάλλον σοβαρής διαρροής δεδομένων. Η εταιρεία έκανε ένα λάθος, το οποίο δεν είναι καθόλου καλό, αλλά η πραγματικά κακή εντύπωση προέρχεται από το γεγονός ότι ενεργεί σαν να μην είναι διατεθειμένος να δεχτεί την ευθύνη.