Μια διαρροή δεδομένων που προκαλεί συγκλονιστικά πλήκτρα της εφαρμογής έχει εκθέσει 14 εκατομμύρια χρήστες

Αν εξακολουθείτε να πιστεύετε ότι οι σοβαρές διαρροές δεδομένων δεν είναι τόσο συνηθισμένες, έχουμε μια ιστορία που μπορεί να είναι λίγο έτοιμη να αλλάξει γνώμη. Τον Ιανουάριο, μια ομάδα ερευνητών με επικεφαλής τον Noam Rotem και τον Ran Locar βρήκε έναν κακώς διαμορφωμένο κάδο AWS S3 που εκθέτει ένα μεγάλο αριθμό πληροφοριών. Δυστυχώς, στο άρθρο τους για τον vpnMentor, οι εμπειρογνώμονες παραδέχθηκαν ότι ήταν τόσο απασχολημένοι με την αναφορά άλλων διαρροών δεδομένων εκείνη τη στιγμή, ότι δεν μπορούσαν να διερευνήσουν αμέσως το ζήτημα και να ειδοποιήσουν τους υπεύθυνους για την έκθεση. Δεν ήταν μέχρι ένα μήνα αργότερα ότι πήραν τελικά να εργάζονται για τη συγκεκριμένη διαρροή.

Οι πάροχοι υπηρεσιών εξακολουθούν να αγωνίζονται για να αντιμετωπίσουν τους μηχανισμούς ασφαλείας που προσφέρουν οι λύσεις αποθήκευσης cloud και οι διαρροές εμφανίζονται αριστερά, δεξιά και στο κέντρο. Οι εμπειρογνώμονες δεν είναι σε θέση να συμβαδίσουν και, όπως πάντα, ο ανυποψίαστος χρήστης μένει να αναλάβει τις συνέπειες. Στην περίπτωση αυτή, οι πιθανές συνέπειες ήταν τεράστιες.

Η εφαρμογή "Κλειδοθήκη" εκθέτει τα ψηφιακά πορτοφόλια των χρηστών σε ολόκληρο τον κόσμο

Ο πρώτος κάδος που έβρισκαν οι ερευνητές περιείχε 44 εκατομμύρια εικόνες. Είναι πολλά δεδομένα, αλλά το πραγματικά συγκλονιστικό μέρος είναι η φύση των εκτεθειμένων πληροφοριών. Μόλις βρεθεί ο χρόνος για να ερευνήσουν, οι ερευνητές ανακάλυψαν ότι ο εσφαλμένα διαμορφωμένος κάδος S3 ανήκε στο Key Ring - μια εφαρμογή για κινητά που σας δίνει, μεταξύ άλλων, την επιλογή ψηφιοποίησης του μεγαλύτερου μέρους του περιεχομένου του πορτοφολιού σας. Σας επιτρέπει να φωτογραφίζετε και να αποθηκεύετε εικονικά αντίγραφα των σκέψεων όπως κάρτες μέλους και κάρτες δώρων. Ορισμένα από τα 14 εκατομμύρια άτομα που χρησιμοποιούν την εφαρμογή έχουν επίσης μεταφορτώσει τις σαρώσεις των πιστωτικών καρτών και των εγγράφων προσωπικής ταυτότητάς τους. Ενώ το έκαναν, πίστευαν πιθανώς ότι τα δεδομένα τους θα αποθηκεύονταν με ασφάλεια. Εκαναν λάθος.

Ο κακοσχηματισμένος κάδος S3 περιείχε σαρώσεις από πιστωτικές κάρτες, κάρτες εγγραφής μέλους και πίστης, κάρτες ιατρικής κάνναβης, άδειες οδηγού και άλλα έγγραφα ταυτότητας. Οι εικόνες αποθηκεύτηκαν τελείως καθαρές και ήταν προσβάσιμες από οπουδήποτε στον κόσμο. Μπορείτε ήδη να δείτε πόσο άσχημα η διαρροή μπορεί να επηρεάσει τους χρήστες. Δυστυχώς, αυτό δεν ήταν το τέλος του.

Οι λανθασμένα διαμορφωμένοι κάδοι S3 του Key Ring διαρρέουν τόνοι προσωπικών πληροφοριών

Στον ίδιο κάδο, οι ερευνητές βρήκαν μερικά αρχεία CSV που περιείχαν προσωπικά αναγνωρίσιμα στοιχεία (PII) που ανήκουν σε εκατομμύρια ανθρώπους. Αυτοί οι άνθρωποι βρίσκονταν στους καταλόγους μελών των εταίρων του Key Ring, όπως η Walmart, και οι κατάλογοι περιείχαν μια πληθώρα προσωπικών στοιχείων όπως ονόματα, διευθύνσεις, ημερομηνίες γέννησης κλπ.

Μετά από λίγο πιο περιστροφικό, η Noam Rotem και η ομάδα του Ran Locar βρήκαν τέσσερις ακόμα κακοσχηματισμένους κάδους S3 που συνδέονται με το δαχτυλίδι. Περιείχαν παλιά στιγμιότυπα της βάσης δεδομένων της εφαρμογής και εξέθεσαν, μεταξύ άλλων, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και κατοικίας των χρηστών, τις διευθύνσεις IP, τις πληροφορίες συσκευών κλπ. Οι βάσεις δεδομένων διέθεταν επίσης κωδικούς πρόσβασης, οι οποίοι, σύμφωνα με τους ερευνητές, ήταν "κρυπτογραφημένοι". Δυστυχώς, ο μηχανισμός για την κατάρτισή τους παραμένει ασαφής.

Είναι επίσης άγνωστο αν οι ερευνητές ήταν οι μόνοι που κατάφεραν να βρουν τα εκτεθειμένα δεδομένα. Στις 18 Φεβρουαρίου τελικά κατάφεραν να έρθουν σε επαφή με το Key Ring και το Amazon και δύο μέρες αργότερα οι κάδοι τραβήχτηκαν εκτός σύνδεσης, αλλά σε αυτό το σημείο δεν γνωρίζουμε πότε τοποθετήθηκαν στην πρώτη θέση. Δυστυχώς, πρέπει να επισημάνουμε ότι παρόλο που οι πληροφορίες ήταν εξασφαλισμένες σχετικά γρήγορα, η στάση του Key Ring απέναντι στο περιστατικό είναι ελάχιστα παραδειγματική.

Όταν συμβαίνουν διαρροές όπως αυτό, οι χρήστες αναμένουν να λάβουν μεμονωμένες ειδοποιήσεις που τους λένε τι συνέβη και τι πρέπει να προσέξουν. Εν τω μεταξύ, το κοινό αναμένει μια επίσημη ανακοίνωση από τον πωλητή, η οποία παρέχει επίσης λεπτομέρειες για το περιστατικό και τις προφυλάξεις που ελήφθησαν για να διασφαλιστεί ότι δεν θα συμβεί ξανά. Με το Key Ring, δεν έχουμε δει κανένα από αυτά τα πράγματα.

Ο όγκος των εκτεθειμένων δεδομένων, σε συνδυασμό με την έλλειψη οποιασδήποτε επίσημης απάντησης, σημαίνει ότι δεν μπορούμε παρά να υποθέσουμε ότι πλήττονται και οι 14 εκατομμύρια χρήστες του κλειδιού. Εάν είστε ένας από αυτούς, πρέπει να είστε πολύ πιο προσεκτικοί από ότι είστε κανονικά, ειδικά εάν έχετε αποθηκεύσει οποιαδήποτε ευαίσθητα δεδομένα με την εφαρμογή.