Η μη προστατευμένη βάση δεδομένων της υπηρεσίας γνωριμιών διαρρέει τα προσωπικά δεδομένα
Μια άλλη εκτεθειμένη βάση δεδομένων σε έναν διαδικτυακό διακομιστή παραβιάστηκε και διέρρευσε τα προσωπικά δεδομένα των χρηστών της. Η εν λόγω βάση δεδομένων ανήκε σε έναν ιστότοπο γνωριμιών που εκτελούσε έναν διακομιστή Elastisearch και δεν προστατεύεται με κωδικό πρόσβασης. Η ανακάλυψη ότι η βάση δεδομένων εκτέθηκε έγινε στα τέλη Αυγούστου 2020 από ερευνητές ασφαλείας με το vpnMentor.
Αφού οι ερευνητές ασφαλείας επικοινώνησαν με τους κατόχους της βάσης δεδομένων, καταργήθηκε γρήγορα, αλλά αυτό δεν σημαίνει ότι η βάση δεδομένων δεν διέρρευσε με βεβαιότητα. Υπήρχαν συνολικά πάνω από 880 gigabyte αρχεία καταγραφής ειδοποιήσεων push αποθηκευμένα στην ελαττωματική βάση δεδομένων . Τα αρχεία καταγραφής βρέθηκαν να περιέχουν τις λεπτομέρειες 66 εκατομμυρίων ειδοποιήσεων που δημιουργήθηκαν τις τελευταίες τέσσερις ημέρες, μαζί με τα προσωπικά στοιχεία εκατοντάδων χιλιάδων χρηστών.
Ο αθροιστής υπηρεσιών γνωριμιών που χειριζόταν τη βάση δεδομένων αποθηκεύτηκε ειδοποιήσεις που προέρχονται από περισσότερες από 70 διαφορετικές τοποθεσίες γνωριμιών. Φαίνεται ότι πολλές από τις ειδοποιήσεις ήταν ανεπιθύμητες, με μηνύματα που προσφέρουν στους άντρες να βρουν συνεργάτες από μέρη του κόσμου, όπως η Ασία ή η Ανατολική Ευρώπη. Ο τρόπος με τον οποίο δημιουργήθηκε το σύστημα, οι νέες ειδοποιήσεις ανησυχούσαν τους χρήστες ότι μια υποτιθέμενη γυναίκα έστειλε ένα μήνυμα για να δελεάσει τους ανθρώπους πίσω στην υπηρεσία.
Προσωπικά αναγνωρίσιμα στοιχεία χρήστη Εκτίθενται
Ενώ όλα αυτά έγιναν με τη συγκατάθεση των χρηστών, το πρόβλημα είναι ότι υπήρχαν πολλές προσωπικές πληροφορίες. Η βάση δεδομένων δεν αποθηκεύονταν απλώς οι ίδιες οι ειδοποιήσεις, αλλά περιείχε επίσης ένα κομμάτι που έχει επισημανθεί ως δεδομένα «εντοπισμού σφαλμάτων» που περιείχαν προσωπικά στοιχεία των χρηστών. Οι προσωπικά αναγνωρίσιμες πληροφορίες στα αρχεία καταγραφής περιελάμβαναν ονόματα, μηνύματα ηλεκτρονικού ταχυδρομείου, φύλο καθώς και δεδομένα γεωγραφικής τοποθεσίας και διευθύνσεων IP.
Για να επιδεινωθούν τα πράγματα, οι συμβολοσειρές στις ειδοποιήσεις περιείχαν επίσης συνδέσμους και κλειδιά ελέγχου ταυτότητας για προφίλ χρηστών, τα οποία θα μπορούσαν να δώσουν στους κακούς ηθοποιούς απεριόριστη πρόσβαση σε προφίλ, χωρίς καν να χρειάζονται τον κωδικό πρόσβασης χρήστη. Όποιος μπορεί ενδεχομένως να κατέχει τη μη προστατευμένη βάση δεδομένων θα μπορούσε να έχει πρόσβαση σε τόνους πληροφοριών χρήστη, συμπεριλαμβανομένων προφίλ και προηγούμενων μηνυμάτων που στάλθηκαν σε όλη την υπηρεσία.
Οι διαρροές προσωπικών πληροφοριών, ειδικά συνδεδεμένες με ιστότοπους και υπηρεσίες γνωριμιών, μπορούν να οδηγήσουν σε σωρούς προβλημάτων για τους εμπλεκόμενους, συμπεριλαμβανομένων εκβιασμών και εκβιασμών.
