A nem védett társkereső szolgáltatás adatbázis kiszivárogtatja a személyes adatokat

Egy másik kiszolgált adatbázis egy online szerveren feltört és kiszivárogtatta felhasználói személyes adatait. A szóban forgó adatbázis egy társkereső webhelyhez tartozott, amely egy Elastisearch szerveren futott, és nem volt jelszóval védett. Az adatbázis felfedésének felfedezését 2020 augusztusának végén tették meg a biztonsági kutatók a vpnMentor segítségével.

Miután a biztonsági kutatók felvették a kapcsolatot az adatbázis-tulajdonosokkal, azt gyorsan levonták, de ez nem azt jelenti, hogy az adatbázis nem szivárgott ki biztosan. A hibás adatbázisban összesen több mint 880 gigabájt push értesítési naplófájl volt tárolva. A naplófájlokból kiderült, hogy az elmúlt négy napban előállított 66 millió értesítés részleteit tartalmazzák, több százezer felhasználó személyes adataival együtt.

Az adatbázist működtető társkereső szolgáltatás-összesítő több mint 70 különböző társkereső oldalról származó értesítéseket tárolt. Úgy tűnt, hogy sok értesítés spam volt, üzenetekkel kínálva a férfiakat, hogy találjanak partnereket a világ olyan részeiről, mint Ázsia vagy Kelet-Európa. A rendszer felállításának módjáról az új értesítések riasztották a felhasználókat, hogy egy feltételezett nő üzenetet küldött, hogy visszacsábítsa az embereket a szolgáltatáshoz.

Személyesen beazonosítható felhasználói információk

Noha mindez a felhasználók beleegyezésével történt, az a kérdés, hogy rengeteg személyes információ szerepelt benne. Az adatbázis nem egyszerűen magukat az értesítéseket tárolta, hanem tartalmazott egy „hibakeresési” adatként megjelölt darabot is, amely a felhasználók személyes adatait tartalmazta. A naplókban szereplő személyazonosító adatok tartalmazzák a neveket, az e-mail címeket, a nemet, valamint a földrajzi hely és az IP cím adatait.

A helyzetet tovább rontja, hogy az értesítések karakterláncai tartalmaztak linkeket és hitelesítési kulcsokat is a felhasználói profilokhoz, amelyek a rossz szereplők számára korlátlan hozzáférést biztosíthatnak a profilokhoz, még a felhasználói jelszó nélkül sem. Bárki, aki potenciálisan megszerezte a nem védett adatbázist, rengeteg felhasználói információhoz férhetett hozzá, beleértve a szolgáltatáson keresztül elküldött profilokat és korábbi üzeneteket.

A személyes adatok kiszivárogtatása, különösen a társkereső webhelyekhez és szolgáltatásokhoz kapcsolódva, rengeteg problémához vezethet az érintett emberek számára, beleértve a zsarolási és zsarolási kísérleteket.

September 24, 2020
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.