Οι εφαρμογές γνωριμιών αποτυγχάνουν να προστατεύσουν ξανά τους πελάτες τους: 6 εφαρμογές διαρρέουν εκατομμύρια εγγραφές
Ένα από τα πράγματα που αγαπάμε περισσότερο στο Διαδίκτυο είναι το γεγονός ότι μπορούμε να βρούμε τόσες πολλές πληροφορίες για αυτό. Περιέργως, ένα από τα πράγματα που μισούμε περισσότερο στο Διαδίκτυο είναι επίσης το γεγονός ότι μπορούμε να βρούμε τόσες πολλές πληροφορίες για αυτό. Οι ερευνητές ασφαλείας από το WizCase, για παράδειγμα, ανακάλυψαν πρόσφατα ότι εάν ήξεραν πού να ψάξουν, οι χρήστες έξι εφαρμογών γνωριμιών θα μπορούσαν να βρουν τα προσωπικά τους στοιχεία εκτεθειμένα σε βάσεις δεδομένων που δεν προστατεύονταν με κωδικό πρόσβασης και ήταν προσβάσιμα από οπουδήποτε στον κόσμο.
Table of Contents
Πέντε κακώς ασφαλείς βάσεις δεδομένων διαρρέουν εκατομμύρια αρχεία γεμάτα προσωπικά στοιχεία
Οι ειδικοί ανακάλυψαν τρεις εγκαταστάσεις ElasticSearch, έναν κάδο Amazon S3 και μια βάση δεδομένων MongoDB εκτεθειμένες στο Διαδίκτυο και προσβάσιμες χωρίς καμία μορφή ελέγχου ταυτότητας. Δύο από τους προμηθευτές εδρεύουν στις ΗΠΑ, δύο βρίσκονται στη Νότια Κορέα και ένας λειτουργεί στην Ιαπωνία και όλοι εκτελούν γνωριμίες με ιστότοπους και εφαρμογές. Ακολουθούν τα ονόματα των υπηρεσιών και τα δεδομένα που διέρρευσαν:
- CatholicSingles.com
- SPYKX.com
- Τίκι
- Αμαυρός
- Charin και Kyuun
Ο κάδος S3 ζύγιζε μόλις 17MB και είχε κάπως μετριοπαθή 50 χιλιάδες δίσκους. Τα περισσότερα από τα προφίλ φαίνεται να έχουν απαγορευτεί, αλλά η τελευταία καταγεγραμμένη δραστηριότητα είναι πρόσφατη, γεγονός που δείχνει ότι τα δεδομένα που διέρρευσαν είναι πιθανότατα έγκυρα. Περιλαμβάνει πράγματα όπως ονόματα, διευθύνσεις email, αριθμούς τηλεφώνου, ηλικία, φύλο, επάγγελμα, διευθύνσεις χρέωσης, τρόπους πληρωμής κ.λπ.
Το SPYKX.com είναι ένας προμηθευτής της Νότιας Κορέας που αναπτύσσει και διαχειρίζεται πολλές διαφορετικές υπηρεσίες. Ένα από αυτά είναι μια εφαρμογή γνωριμιών που ονομάζεται Condaq / Kongdak και για κάποιο λόγο, ο προγραμματιστής αποφάσισε ότι θα ήταν καλή ιδέα να τοποθετήσετε ορισμένα από τα δεδομένα χρήστη της εφαρμογής σε έναν μη προστατευμένο διακομιστή ElasticSearch. Περίπου 123 χιλιάδες εγγραφές αποκάλυψαν προσωπικά στοιχεία αξίας 600MB, συμπεριλαμβανομένων διευθύνσεων email, κωδικών πρόσβασης απλού κειμένου, ημερομηνιών γέννησης, ακόμη και δεδομένων GPS.
Το Tiki είναι, σύμφωνα με τους ισχυρισμούς, "ένα νέο είδος εφαρμογής γνωριμιών" και σύμφωνα με τον ιστότοπό του, ο χρήστης έχει τον έλεγχο του τύπου των προσωπικών πληροφοριών που μπορούν να δουν οι ημερομηνίες. Αυτός ο ισχυρισμός είναι ιδιαίτερα ειρωνικός δεδομένου του γεγονότος ότι ο προγραμματιστής του Tiki έβαλε ορισμένες από τις εν λόγω πληροφορίες σε μια βάση δεδομένων MongoDB που ήταν προσβάσιμη με ένα απλό πρόγραμμα περιήγησης. Εκτέθηκαν λίγο περισσότερες από 4 χιλιάδες εγγραφές και περιελάμβαναν οτιδήποτε, από αξιολογήσεις χρηστών και αρχεία καταγραφής δραστηριοτήτων έως ονόματα, αριθμούς τηλεφώνου, τόπους ημερομηνιών κ.λπ.
Το Blurry είναι μια εφαρμογή γνωριμιών της Νότιας Κορέας που επιτρέπει στους χρήστες να θολώνουν την οθόνη κατά τη διάρκεια βιντεοκλήσεων. Υποτίθεται ότι απευθύνεται σε χρήστες που είναι πολύ ντροπαλοί για να αλληλεπιδράσουν ή δεν είναι πολύ σίγουροι για την εμφάνισή τους και μπορείτε να φανταστείτε πώς θα αισθάνονται αυτά τα άτομα όταν μαθαίνουν ότι ορισμένες από τις ιδιωτικές συνομιλίες τους εκτέθηκαν από έναν διακομιστή ElasticSearch με κακή διαμόρφωση. Τα 70 χιλιάδες αρχεία δεν περιείχαν προσωπικά στοιχεία, αλλά τα μηνύματα που διέρρευσαν ήταν γεμάτα αριθμούς WhatsApp, λαβές Instagram και άλλες πληροφορίες που θα μπορούσαν να εκθέσουν το θύμα σε κάθε είδους επιθέσεις.
Ακόμα μια άλλη εσφαλμένη διαμόρφωση βάση δεδομένων ElasticSearch ανήκει στους προγραμματιστές των Charin και Kyuun - δύο ιαπωνικών εφαρμογών που φαίνεται να λειτουργούν από την ίδια εταιρεία. Ήταν μακράν η μεγαλύτερη διαρροή, με 57 GB εκτεθειμένων δεδομένων και λίγο πάνω από 100 εκατομμύρια αρχεία ανοιχτά στο κοινό. Ανησυχητικό, εκτός από τα αναγνωριστικά χρήστη, τις πληροφορίες κινητής συσκευής και τις προτιμήσεις αναζήτησης, η βάση δεδομένων περιείχε διευθύνσεις email και κωδικούς πρόσβασης σε απλό κείμενο.
Ήταν ήδη μια αρκετά σημαντική διαρροή, αλλά η έρευνα του WizCase δεν σταμάτησε εκεί.
Οι ειδικοί δεν μπόρεσαν να εντοπίσουν τους κατόχους έξι επιπλέον μη προστατευμένων βάσεων δεδομένων
Οι ερευνητές ανακάλυψαν έξι ακόμη μη ασφαλείς βάσεις δεδομένων γεμάτες δεδομένα. Για άλλη μια φορά, οι χρήστες των υπηρεσιών γνωριμιών επηρεάστηκαν, αλλά αυτή τη φορά, φαίνεται ότι οι προγραμματιστές δεν ήταν υπεύθυνοι για τη διαρροή.
Οι ειδικοί κατάφεραν να συνδέσουν τα δεδομένα σε διάφορες εφαρμογές - Zhenai, Say Love, Netease, Love Chat και Companion. Είπαν, ωστόσο, ότι οι βάσεις δεδομένων δεν περιείχαν προσωπικά αναγνωρίσιμες πληροφορίες και πιθανότατα ήταν το αποτέλεσμα της απόξεσης ιστού. Επίσης, οι εγκληματίες στον κυβερνοχώρο μπορούν να χρησιμοποιήσουν τις πληροφορίες που περιέχονται σε αυτά για να προσδιορίσουν άλλα διαθέσιμα στο κοινό προφίλ και ενδεχομένως να αποκτήσουν πρόσβαση σε πιο ευαίσθητα δεδομένα.
Τι πρέπει να προσέξουν οι χρήστες;
Ποτέ δεν είναι διασκεδαστικό να βλέπεις εφαρμογές γνωριμιών που διαρρέουν δεδομένα χρήστη. Αν και οι υπηρεσίες για τις οποίες μιλάμε σήμερα δεν είναι τόσο εξειδικευμένες όσο αυτές που συζητήσαμε πριν από λίγες εβδομάδες, τα άτομα που επηρεάζονται ενδέχεται να μην είναι απαραίτητα πρόθυμα για ολόκληρο τον κόσμο γνωρίζοντας ότι τα χρησιμοποιούν.
Δυστυχώς, επειδή εμπλέκονται τόσες πολλές εφαρμογές, δεν έχουμε κανέναν τρόπο να γνωρίζουμε πόσα άτομα επηρεάζονται από τις διαρροές. Αυτό που γνωρίζουμε, ωστόσο, είναι ότι εάν έχετε χρησιμοποιήσει οποιαδήποτε από τις υπηρεσίες που αναφέρονται σε αυτό το άρθρο, πρέπει να είστε πολύ πιο προσεκτικοί από ό, τι συνήθως. Τα δεδομένα σε ορισμένες από τις βάσεις δεδομένων μπορούν να παρέχουν στους εγκληματίες του κυβερνοχώρου όλα όσα χρειάζονται για να σας πλαστοπροσωπήσουν και να κλέψουν την ηλεκτρονική σας ταυτότητα. Επιπλέον, μπορούν να το χρησιμοποιήσουν για να βρουν περισσότερες πληροφορίες για εσάς και να προσθέσουν επιπλέον επιθέσεις.
Οι απόπειρες εκβιασμού με βάση το γεγονός ότι χρησιμοποιείτε μια εφαρμογή γνωριμιών δεν είναι καθόλου αμφισβητήσιμες σε ορισμένες περιπτώσεις, και οι εκτεθειμένοι κωδικοί πρόσβασης απλού κειμένου σχεδόν σίγουρα θα χρησιμοποιηθούν σε επιθέσεις παραμόρφωσης διαπιστευτηρίων.
