A PhotoSquared felhasználók ezrei szembesülnek az adatvédelemmel
Mint néhányan közületek már tudják, Noam Rotem és Ran Locar a VPN Mentor kutatócsoportját vezetik, amelynek feladata egy nagyszabású webes térképezési projekt, amelynek célja az érzékeny információkat kiszivárogtató, gyengén védett adatbázisok feltárása és biztosítása. Az elmúlt néhány hónapban számos súlyos adatmegsértésről számoltak be, és valóban megmutatták, hogy a vállalatok milyen gyakran nem tesznek eleget a felhasználók adatainak védelme érdekében. Rotem és Locar beismerték, hogy annak kiderítése, ki szivárogtatja az információkat, gyakran napokig tart és sok kemény munkát igényel. Legutóbbi felfedezésükkel azonban ez nem volt a helyzet.
A port-letapogató munkamenet során a Rotem és a Locar csapata felfedezett egy AWS S3 vödröt, amely nyilvánosan hozzáférhető és jelszóval nem védett. Alig 95 GB adatot tárolt, és a tulajdonos neve elérhető volt az URL-ben - PhotoSquared.
Mi a PhotoSquared?
Nagyobb esélye van arra, hogy megértse a szivárgás mértékét, ha tudja, mit csinál a PhotoSquared. Azt akarja, hogy a 21. századi válaszok egyike legyen a fotó fejlesztő üzletének. Ahelyett, hogy fizikai helyre kerülne, és kézzel átadná a kívánt fényképeket nyomtatott formában, egyszerűen a mobilalkalmazás segítségével választhatja ki kedvenc kattintásait a fényképezőgép tekercséből vagy a közösségi média hírcsatornáiból. Később online fizetéssel a PhotoSquared kinyomtatja fényképeit 8 "x 8" -es táblákra, és visszaküldi őket a címére. Nagyon kényelmesnek hangzik, ezért valószínűleg több mint 100 ezer ember töltötte le az alkalmazást a Google Playről. Az üzleti modell azonban azt jelenti, hogy valakinek valahol feladata nagyszámú felhasználó személyes adatainak és kedvenc képeinek kezelése. Sajnos, hogy valaki nem végzett túl jó munkát.
A tévesen konfigurált S3 vödör kiszárad a több százezer felhasználó fotóiról és személyes információiról
Az adatbázis mérete meglehetősen jó adást adott annak tartalma szempontjából. Amikor kinyitották, Noam Rotem és Ran Locar körülbelül 1 millió lemezt találtak, amelyek tartalmazzák:
- Felhasználói fotók szerkesztésre és nyomtatásra készítve
- Rendelje meg a PDF-dokumentumként mentett nyilvántartásokat és nyugtákat
- Címkék és szállítási információk
- Felhasználók nevei
- Otthoni és kézbesítési címek
Nehéz megmondani, hogy hány embert érint a szivárgás, de a kutatók rámutattak, hogy az adatbázisban szereplő információkat 2016 november és 2020 januárja között gyűjtötték össze, ami jelentős időtartamot jelent. Ahogy a szakértők is megjegyezték, a lehetséges következmények meglehetősen ijesztőek.
A privát képek és a személyes információk (ideértve az otthoni címeket) kombinációja a potenciális betörő számára nagyon jó betekintést nyújthat a célpontjába. Ezen felül a kiszivárogtatott részletek kiindulópontként szolgálhatnak a további felderítéshez és további bűncselekményekhez.
Rotem és Locar január 30-án fedezte fel a nem védett vödröt, és február 4-én az alkalmazás fejlesztőjéhez fordult. PhotoSquared tíz teljes napot igényelt az adatbázis biztonságához, de szerencsére most offline állapotban van. Nincs bizonyíték arra, hogy bárki visszaél-e a feltárt adatokkal, ami azt jelenti, hogy nem sokkal többet tehetünk, mint remélhetjük, hogy mindenki megtanulta a tanulságokat.
Az esemény ez a nagyon komor emlékeztetők sorában a következő, bár bár az olyan alkalmazások, mint a PhotoSquared, egészséges adag kényelmet és újdonságot teremtenek az életünkben, ezek használata gyakran azt jelenti, hogy nagyon sok rendkívül érzékeny személyes információval bíznak benne. Ezt valószínűleg szem előtt kell tartanunk, mielőtt megnyomnánk a Telepítés gombot.
A megsértésnek arra is emlékeztetnie kell ezeknek az alkalmazásoknak a fejlesztõit, hogy több százezer ember adatainak kezelése óriási felelõsség. Az olyan egyszerű téves konfigurációs hibák, mint például a PhotoSquared, teljesen elviselhetetlenek lehetnek.