A sokkoló kulcstartó alkalmazás adatszivárgása 14 millió felhasználót tett ki

Ha továbbra is úgy gondolja, hogy a súlyos adatszivárgás nem olyan gyakori, van egy történetünk, amely valószínűleg csak meggondolja magát. Januárban egy kutatócsoport, Noam Rotem és Ran Locar vezetésével, rosszul konfigurált AWS S3 vödröt talált, amely nagy mennyiségű információt adott ki. Sajnos a vpnMentornak írt cikkükben a szakértők beismerték, hogy annyira elfoglaltak voltak az adatok más szivárgásáról abban az időben, hogy nem tudták azonnal megvizsgálni a problémát, és értesítették az expozícióért felelős embereket. Csak kb. Egy hónappal később végül elkezdtek dolgozni ezen a szivárgáson.

A szolgáltatók továbbra is küzdenek annak érdekében, hogy megismerjék a felhőalapú tárolási megoldások által kínált biztonsági mechanizmusokat, és a szivárgások balra, jobbra és közepére jelennek meg. A szakértők nem tudnak lépést tartani, és mint mindig, a gyanútlan felhasználónak kell viselnie a következményeket. Ebben az esetben a lehetséges következmények óriási voltak.

A Key Ring alkalmazás a felhasználók digitális pénztárcáját az egész világnak kiteszi

Az első vödör, amelyet a kutatók találtak, 44 millió képet tartalmazott. Nagyon sok adat, de az igazán sokkoló rész a kitett információk jellege. Miután megtalálták a vizsgálat idejét, a kutatók rájöttek, hogy a tévesen konfigurált S3 vödör a Key Ringhez tartozik - egy mobilalkalmazás, amely többek között lehetőséget kínál a pénztárca legtöbb tartalmának digitalizálására. Ez lehetővé teszi a gondolatok virtuális másolatainak fényképezését és tárolását, például tagsági és ajándék kártyákat. Az alkalmazást használó 14 millió ember közül néhányan feltöltöttek hitelkártyáikat és személyi igazolványaikat is. Miközben ezt csinálták, valószínűleg azt gondolták, hogy adataikat biztonságosan tárolják. Tévedtek.

A tévesen konfigurált S3 vödör hitelkártyák, tagsági és hűségkártyák, orvosi kannabiszkártyák, járművezetői engedélyek és egyéb azonosító dokumentumok beolvasását tartalmazta. A képeket teljesen tiszta helyen tárolták, és a világ bármely pontjáról elérhetők voltak. Már láthatja, hogy a szivárgás mennyire befolyásolja a felhasználókat. Sajnos nem ez volt a vége.

A Key Ring tévesen konfigurált S3 vödörje rengeteg személyes információt szivárogtatott fel

Ugyanebben a vödörben a kutatók találtak néhány CSV-fájlt, amelyek személyeknek azonosítható információkat (PII) tartalmaztak, amelyek több millió emberhez tartoznak. Ezek az emberek szerepeltek a Key Ring partnerek, például a Walmart tagsági listáin, és a listák rengeteg személyes adatot tartalmaztak, például neveket, címeket, születési időket stb.

Kissé apróbb riasztás után Noam Rotem és Ran Locar csapata további négy tévesen konfigurált S3 vödröt helyezte el a Key Ringhez társítva. Tartalmazták az alkalmazás adatbázisának régi pillanatképeit, és többek között a felhasználók e-mail- és otthoni címeit, IP-jeit, eszközinformációit stb. Fedték le. Az adatbázisok jelszavakat is tartalmaztak, amelyeket a kutatók szerint "rejtjeleztek". Sajnos a kódolás mechanizmusa továbbra sem tisztázott.

Az sem ismert, hogy a kutatók voltak az egyetlen, akiknek sikerült megtalálniuk a feltárt adatokat. Február 18-án végre sikerült kapcsolatba lépniük a Key Ring-rel és az Amazon-tal, és két nappal később a vödröket offline állapotban húzták el, de ezen a ponton nem tudjuk, mikor állították fel őket. Sajnos rámutatnunk kell arra, hogy noha az információ viszonylag gyorsan megbizonyosodott, a Key Ring hozzáállása az esethez alig példázza.

Amikor ilyen szivárgások történnek, a felhasználók külön értesítést kapnak, amelyben megmondják, mi történt és mire kell figyelni. Eközben a nagyközönség hivatalos értesítést vár el az eladótól, amely részleteket tartalmaz az eseményről és az annak megelőzésére tett óvintézkedésekről, hogy nem történik meg újra. A Key Ring segítségével egyiket sem láttuk.

A feltárt adatok mennyisége, valamint a hivatalos válaszok hiánya, azt jelenti, hogy nem tehetünk többet, mint feltételezni, hogy az összes 14 millió Key Ring felhasználót érinti. Ha ezek közé tartozik, akkor sokkal óvatosabbnak kell lennie, mint általában, különösen akkor, ha bármilyen érzékeny adatot tárolt az alkalmazásban.