A rallyhood felfedte egy évtizedre méltó személyes felhasználói adatokat

Amikor Zack Whittaker a TechCrunch-tól kapcsolatba lépett a Rallyhood-tal, hogy egy hibásan konfigurált S3 vödörről beszéljen, amely meglehetősen sok felhasználói adatot fed fel, kezdetben azt mondták neki, hogy a szivárgott adatbázist csak tesztelési célokra használják, és az emberek tényleges információit „egy erősen rögzített vödör”. Később Chris Alderson, a Rallyhood technológiai vezérigazgatója különféle változatokat adott az eseményekről. Elismerte, hogy a migrációs projekt során „az engedélyeket tévesen nyitva hagyták” a társaság egyik tároló vödörében „rövid ideig”. Az írás idején ez az egyetlen olyan információ, amelyet a Rallyhood megosztott a világ többi részével az eseményről, és el kell mondani, hogy ez alig ideális, tekintettel a kiszivárogtatott adatok mennyiségére és jellegére.

Másnap egy újabb szivárgó S3 vödör millióinak felhasználói fájlokat fed fel

A szivárgást egy biztonsági kutató fedezte fel, aki inkább Twitter-kezelőjével, az Időtlennel ismeri. Az időtlen úgy döntött, hogy a TechCrunch befolyását használja fel annak érdekében, hogy biztosítsa az adatok lehető leggyorsabb biztonságát, ami a Rallyhood üzleti életének és a hatalmas felhasználói bázisnak fényében valóban a legsürgetőbb feladat.

A weboldal népszerűsége óriási lendületet kapott, amikor a Yahoo bejelentette, hogy hamarosan a Yahoo Csoportokat fogja fejleszteni, és az emberek sokasága vitatta megbeszéléseiket a Rallyhood felé. Hangsúlyozzuk azonban, hogy a Rallyhood sokkal több, mint egy üzenetküldő tábla. Ez egy együttműködési platform, amelyet bármilyen formájú és méretű szervezet használ feladatok és események szervezésére és nyomon követésére. Ez azt jelenti, hogy a Rallyhoodnak sok adatot kell feldolgoznia és tárolnia.

A vállalat nem fogja mondani, hogy hány aktív felhasználó van a platformon, és a szivárgás által érintett emberek pontos számát jelenleg nem lehet becsülni. Azt tudjuk, hogy az S3 vödör egy óriási 4,1 TB adatot tárolt, és hogy egy teljesen általános konfigurációs hibának köszönhetően a jelszó nélkül nyilvánosan elérhető volt. Zack Whittaker szerint az URL is "könnyen kitalálható", ami még valósághűbbé tette annak lehetőségét, hogy valaki megkapja az információ kezét.

A feltárt adatok egy része rendkívül érzékeny

Whittaker áttekintett néhány fájlt, és kapcsolattartási adatokat talált, amelyek lehetővé tették számára, hogy kapcsolatba lépjen az érintett felhasználókkal és ellenőrizze a szivárgás hitelességét. Sajnos a telefonok és az e-mail címek mellett a vödör sokkal több információt tartalmazott.

A TechCrunch riportere bármit talált a szerződésektől és az engedélycsúszásoktól a nem-nyilvánosságra hozatali megállapodásokig és a megosztott jelszavak listájáig, amelyeknek nyilvánvalóan nem kellett nyilvánosan hozzáférhetőnek lenniük. Mint már említettük, a Rallyhood műszaki vezetője megpróbált korlátozni a károkat azáltal, hogy azt mondta a TechCrunch-nak, hogy az expozíció nem tart sokáig, de inkább nem mondta, hogy milyen rövid a „rövid időtartam”. Amit tudunk biztosan az, hogy a kiszivárgott adatbázis néhány fájljának 2011-es időbélyegzője volt. Sajnos, annak ellenére, hogy majdnem egy évtizedes értékű magánfájlok voltak a tévesen konfigurált adatbázisban, a Rallyhood megtagadta a TechCrunchnak azt a mondatot, hogy a társaság tervezi-e a potenciálisan érintett személyeket erről tájékoztatni.

Mindent összevetve, a Rallyhood eddig kifejezetten átláthatatlannak bizonyította a kétségtelenül meglehetősen súlyos adatszivárgás kezelése során alkalmazott átláthatóságot. A vállalat egyértelműen hibát követett el, ami aligha jó, de az igazán rossz benyomást az adja, hogy úgy viselkedik, mintha nem hajlandó vállalni a felelősséget.