Χιλιάδες χρήστες PhotoSquared αντιμετωπίζουν μια παραβίαση δεδομένων

PhotoSquared Data Breach

Όπως γνωρίζουν μέχρι τώρα οι Noam Rotem και Ran Locar, μια ομάδα ερευνητών στο VPN Mentor έχει αναλάβει την υλοποίηση ενός έργου χαρτογράφησης μεγάλης κλίμακας που σχεδιάστηκε για να αποκαλύψει και να προστατεύσει τις κακώς προστατευμένες βάσεις δεδομένων που διαρρέουν ευαίσθητες πληροφορίες. Κατά τους τελευταίους μήνες, έχουν αναφέρει ορισμένες μαζικές παραβιάσεις δεδομένων και έχουν δείξει πραγματικά πόσο συχνά οι εταιρείες δεν κάνουν αρκετά για να προστατεύσουν τα δεδομένα των χρηστών. Ο Rotem και ο Locar παραδέχθηκαν ότι η ανακάλυψη του ποιος διαρρέει τις πληροφορίες συχνά απαιτεί ημέρες έρευνας και πολλή σκληρή δουλειά. Ωστόσο, με την πιο πρόσφατη ανακάλυψη, αυτό δεν συνέβη.

Κατά τη διάρκεια μιας συνεδρίασης σάρωσης λιμένων, η ομάδα Rotem και Locar ανακάλυψε έναν κάδο AWS S3 που ήταν προσβάσιμος στο κοινό και δεν προστατεύεται από κωδικό πρόσβασης. Κατέχει μόλις 95GB δεδομένων και το όνομα του ιδιοκτήτη του ήταν διαθέσιμο στη διεύθυνση URL - PhotoSquared.

Τι είναι το PhotoSquared;

Έχετε περισσότερες πιθανότητες να κατανοήσετε το εύρος της διαρροής εάν ξέρετε τι κάνει το PhotoSquared. Θέλει να είναι μία από τις απαντήσεις του 21ου αιώνα στο κατάστημα του developer. Αντί να μεταβείτε σε μια φυσική τοποθεσία και να παραδώσετε με μη αυτόματο τρόπο τις φωτογραφίες που θέλετε με έντυπη μορφή, απλά χρησιμοποιήστε την εφαρμογή για κινητά για να επιλέξετε τα αγαπημένα σας στιγμιότυπα από τις ροές φωτογραφικής μηχανής σας ή τις τροφοδοσίες κοινωνικών μέσων. Μια online πληρωμή αργότερα, η PhotoSquared εκτυπώνει τις φωτογραφίες σας σε κάρτες 8 "x 8" και τις αναρτά στις διευθύνσεις σας. Ακούγεται πολύ βολικό, το οποίο πιθανόν να έχει κατεβάσει το app από το Google Play περισσότερα από 100 χιλιάδες άτομα. Το επιχειρηματικό μοντέλο σημαίνει, ωστόσο, ότι κάποιος, κάπου, έχει την εντολή να χειρίζεται τα προσωπικά στοιχεία και τις αγαπημένες εικόνες ενός μεγάλου αριθμού χρηστών. Δυστυχώς, ότι κάποιος δεν έκανε πολύ καλή δουλειά.

Ένας εσφαλμένα διαμορφωμένος κάδος S3 διαρρέει τις φωτογραφίες και τις προσωπικές πληροφορίες εκατοντάδων χιλιάδων χρηστών

Το μέγεθος της βάσης δεδομένων ήταν ένα αρκετά καλό giveaway ως προς το τι περιέλαβε. Όταν το άνοιξαν, ο Noam Rotem και ο Ran Locar βρήκαν περίπου 1 εκατομμύριο δίσκους που περιελάμβαναν:

  • Οι φωτογραφίες των χρηστών προετοιμάζονται για επεξεργασία και εκτύπωση
  • Παραγγείλετε εγγραφές και αποδείξεις που αποθηκεύονται ως έγγραφα PDF
  • Ετικέτες και πληροφορίες αποστολής
  • Ονόματα χρηστών
  • Διευθύνσεις οικίας και παράδοσης

Είναι δύσκολο να πούμε πόσα άτομα επηρεάζονται από τη διαρροή, αλλά οι ερευνητές επεσήμαναν ότι οι πληροφορίες στη βάση δεδομένων συλλέχθηκαν μεταξύ Νοεμβρίου 2016 και Ιανουαρίου 2020, η οποία είναι σημαντική περίοδος. Όπως επεσήμαναν και οι ειδικοί, οι πιθανές επιπτώσεις είναι αρκετά τρομακτικές.

Ένας συνδυασμός ιδιωτικών φωτογραφιών και προσωπικών πληροφοριών (συμπεριλαμβανομένων των διευθύνσεων στο σπίτι) θα μπορούσε να δώσει σε έναν πιθανό διαρρήκτη μια αρκετά καλή εικόνα για τη ζωή του στόχου τους. Επιπλέον, οι πληροφορίες που διαρρέουν μπορούν να λειτουργήσουν ως σημείο εκκίνησης για επιπλέον αναγνώριση και περαιτέρω εγκληματική δραστηριότητα.

Οι Rotem και Locar ανακάλυψαν τον απροστάτευτο κάδο στις 30 Ιανουαρίου και έφτασαν στον προγραμματιστή της εφαρμογής στις 4 Φεβρουαρίου. Η PhotoSquared χρειάστηκε δέκα ολόκληρες μέρες για να εξασφαλίσει τη βάση δεδομένων, αλλά ευτυχώς είναι πλέον εκτός σύνδεσης. Δεν υπάρχουν αποδείξεις για κακομεταχείριση των εκτεθειμένων δεδομένων, πράγμα που σημαίνει ότι μπορούμε να κάνουμε κάτι παραπάνω από την ελπίδα ότι όλοι έχουν μάθει τα μαθήματά τους.

Το περιστατικό είναι το επόμενο σε μια πολύ μακρά σειρά από ζοφερές υπενθυμίσεις ότι παρόλο που εφαρμογές όπως το PhotoSquared φέρνουν μια υγιή δόση ευκολίας και καινοτομίας στη ζωή μας, η χρήση τους συχνά σημαίνει να τους εμπιστεύεστε με πάρα πολλές εξαιρετικά ευαίσθητες προσωπικές πληροφορίες. Αυτό πρέπει να έχουμε κατά νου πριν φτάσουμε στο κουμπί Εγκατάσταση.

Η παραβίαση θα πρέπει επίσης να υπενθυμίζει στους προγραμματιστές αυτών των εφαρμογών ότι η διαχείριση των δεδομένων εκατοντάδων χιλιάδων ανθρώπων αποτελεί τεράστια ευθύνη. Απλά λάθη λάθους όπως το PhotoSquared που έγιναν θα πρέπει να είναι εντελώς ανυπόφορα.

February 18, 2020
Φόρτωση...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.