A nem védett társkereső szolgáltatás adatbázis kiszivárogtatja a személyes adatokat
Egy másik kiszolgált adatbázis egy online szerveren feltört és kiszivárogtatta felhasználói személyes adatait. A szóban forgó adatbázis egy társkereső webhelyhez tartozott, amely egy Elastisearch szerveren futott, és nem volt jelszóval védett. Az adatbázis felfedésének felfedezését 2020 augusztusának végén tették meg a biztonsági kutatók a vpnMentor segítségével.
Miután a biztonsági kutatók felvették a kapcsolatot az adatbázis-tulajdonosokkal, azt gyorsan levonták, de ez nem azt jelenti, hogy az adatbázis nem szivárgott ki biztosan. A hibás adatbázisban összesen több mint 880 gigabájt push értesítési naplófájl volt tárolva. A naplófájlokból kiderült, hogy az elmúlt négy napban előállított 66 millió értesítés részleteit tartalmazzák, több százezer felhasználó személyes adataival együtt.
Az adatbázist működtető társkereső szolgáltatás-összesítő több mint 70 különböző társkereső oldalról származó értesítéseket tárolt. Úgy tűnt, hogy sok értesítés spam volt, üzenetekkel kínálva a férfiakat, hogy találjanak partnereket a világ olyan részeiről, mint Ázsia vagy Kelet-Európa. A rendszer felállításának módjáról az új értesítések riasztották a felhasználókat, hogy egy feltételezett nő üzenetet küldött, hogy visszacsábítsa az embereket a szolgáltatáshoz.
Személyesen beazonosítható felhasználói információk
Noha mindez a felhasználók beleegyezésével történt, az a kérdés, hogy rengeteg személyes információ szerepelt benne. Az adatbázis nem egyszerűen magukat az értesítéseket tárolta, hanem tartalmazott egy „hibakeresési” adatként megjelölt darabot is, amely a felhasználók személyes adatait tartalmazta. A naplókban szereplő személyazonosító adatok tartalmazzák a neveket, az e-mail címeket, a nemet, valamint a földrajzi hely és az IP cím adatait.
A helyzetet tovább rontja, hogy az értesítések karakterláncai tartalmaztak linkeket és hitelesítési kulcsokat is a felhasználói profilokhoz, amelyek a rossz szereplők számára korlátlan hozzáférést biztosíthatnak a profilokhoz, még a felhasználói jelszó nélkül sem. Bárki, aki potenciálisan megszerezte a nem védett adatbázist, rengeteg felhasználói információhoz férhetett hozzá, beleértve a szolgáltatáson keresztül elküldött profilokat és korábbi üzeneteket.
A személyes adatok kiszivárogtatása, különösen a társkereső webhelyekhez és szolgáltatásokhoz kapcsolódva, rengeteg problémához vezethet az érintett emberek számára, beleértve a zsarolási és zsarolási kísérleteket.