A társkereső alkalmazások nem tudják újra megvédeni ügyfeleiket: 6 alkalmazás szivárog több millió rekordot
Az egyik dolog, amit leginkább szeretünk az interneten, az a tény, hogy ennyi információt találunk róla. Furcsa módon az egyik dolog, amelyet leginkább utálunk az internettel kapcsolatban, az a tény, hogy ennyi információt találunk róla. Például a WizCase biztonsági kutatói nemrég felfedezték, hogy ha tudnák, hol kell keresni, akkor a hat randevú alkalmazás felhasználói a személyes adataikat olyan adatbázisokban fedezhetik fel, amelyeket jelszóval nem védenek, és a világ bármely pontjáról elérhetők.
Table of Contents
Öt rosszul védett adatbázis több millió adatot szivárog be, teljes személyes adatokkal
A szakértők három ElasticSearch telepítést fedeztek fel, egy Amazon S3 Bucket-t és egy MongoDB adatbázist, amelyek az interneten vannak kitéve és bármilyen hitelesítés nélkül elérhetők. A szállítók közül kettő amerikai székhelyű, kettő Dél-Koreában, egy pedig Japánban működik, és mindegyik randevú-webhelyet és alkalmazást üzemeltet. Itt vannak a szolgáltatások neve és az azokból kiszivárogtatott adatok:
- CatholicSingles.com
- SPYKX.com
- Tiki
- Homályos
- Charin és Kyuun
Az S3 vödör mindössze 17 MB volt, és kissé szerény 50 ezer rekordot tartott. A legtöbb profil tiltottnak tűnik, de az utoljára rögzített tevékenység nemrégiben történt, ami azt mutatja, hogy a kiszivárogtatott adatok valószínűleg érvényesek. Ez magában foglalja a neveket, e-mail címeket, telefonszámokat, korot, nem, foglalkozást, számlázási címeket, fizetési módokat stb.
Az SPYKX.com egy dél-koreai gyártó, amely számos különféle szolgáltatást fejleszt és üzemeltet. Az egyik a Condaq / Kongdak nevű társkereső alkalmazás, és valamilyen okból a fejlesztő úgy döntött, hogy jó ötlet az alkalmazás felhasználói adatainak egy részét védetlen ElasticSearch szerverre helyezni. Körülbelül 123 ezer feljegyzés fedte fel 600 MB értékű személyes adatait, beleértve az e-mail címeket, a szöveges jelszavakat, a születési időket és még a GPS-adatokat is.
A Tiki állítólag "újfajta randevú alkalmazás", és webhelye szerint a felhasználó kezeli a személyes információt, amelyre a lehetséges dátumok láthatók. Ez az állítás különösen ironikus, mivel a Tiki fejlesztője az említett információk egy részét egy MongoDB adatbázisba helyezte, amely egyszerű böngészővel volt elérhető. Alig több mint 4 000 rekordot tettek közzé, és tartalmaztak bármit, a felhasználói besorolásoktól és tevékenységi naplóktól kezdve a nevekig, telefonszámokig, a dátum helyszínéig stb.
A Blurry egy dél-koreai társkereső alkalmazás, amely lehetővé teszi a felhasználók számára a képernyő elmosódását videohívások közben. Állítólag olyan felhasználókat célozza meg, akik túl félénk a kapcsolatba lépni, vagy amelyek nem nagyon magabiztosak megjelenésükben, és csak el tudod képzelni, hogy fogják érezni ezeket az embereket, amikor megtudják, hogy néhány privát beszélgetésüket rosszul konfigurált ElasticSearch szerver mutatta ki. A 70 ezer bejegyzés nem tartalmazott semmilyen személyes adatot, de a kiszivárgott üzenetek tele voltak a WhatsApp számokkal, Instagram kezelõkkel és egyéb információkkal, amelyek az áldozatot mindenféle támadásnak kitethetik.
Még egy tévesen konfigurált ElasticSearch adatbázis tartozik a Charin és Kyuun - két japán alkalmazás, melyeket úgy látszik, hogy ugyanaz a vállalat üzemeltet, fejlesztőinek. Ez messze a legnagyobb szivárgás volt, 57 GB-os adatokkal és valamivel több mint 100 millió nyilvánossággal nyitott nyilvántartással. Aggodalomra ad okot, hogy a felhasználói azonosítók, a mobil eszközök adatai és a keresési beállítások mellett az adatbázis e-mail címeket és jelszavakat is tartalmazott sima szövegben.
Ez már elég jelentős szivárgás volt, de a WizCase nyomozása nem állt meg ezen.
A szakértők nem tudták azonosítani további hat, nem védett adatbázis tulajdonosát
A kutatók további hat, nem adatbiztos adatbázist fedeztek fel. Ismét a társkereső szolgáltatások felhasználóit érintette, de ezúttal úgy tűnt, hogy a fejlesztők nem felelősek a szivárgásért.
A szakértőknek sikerült az adatokat több alkalmazáshoz kapcsolni - Zhenai, Say Love, Netease, Love Chat és Companion. Azt mondták azonban, hogy az adatbázisok nem tartalmaztak személyesen azonosítható információkat, és valószínűleg az internetes lekaparás eredménye. Arra is rámutatnak, hogy a számítógépes bűnözők felhasználhatják a benne szereplő információkat más nyilvánosan elérhető profilok azonosítására és potenciálisan hozzáférhetnek érzékenyebb adatokhoz.
Mire kell figyelni a felhasználóknak?
Soha nem szórakoztató, ha a társkereső alkalmazások kiszivárognak a felhasználói adatokra. Bár azok a szolgáltatások, amelyekről ma beszélünk, nem olyan szűk rések, mint azok, amelyekről néhány héttel ezelőtt beszélgettünk, az érintett személyek nem feltétlenül szívesen látják az egész világot, tudva, hogy ezeket használják.
Sajnos, mivel oly sok alkalmazás van bevonva, nem tudjuk tudni, hogy hány embert érint a szivárgás. Azt azonban tudjuk, hogy ha a cikkben említett bármely szolgáltatást igénybe vett, akkor sokkal óvatosabbnak kell lennie, mint általában. Egyes adatbázisokban szereplő adatok mindent megtehetnek a számítógépes bűnözőkkel ahhoz, hogy megszemélyesítsék Önt és ellopják online identitását. Sőt, felhasználhatják arra, hogy további információkat találjanak rólad és további támadásokat szerezzenek.
A társkereső alkalmazás használatán alapuló zsarolás kísérletei bizonyos esetekben nem esnek a kérdésbe, és a feltárt egyszerű szöveges jelszavakat szinte biztosan felhasználják a hitelesítő adatok kitöltésének támadásain.
