Il database del servizio di appuntamenti non protetto perde dati personali

Un altro database esposto su un server online è stato violato e ha fatto trapelare i dati personali dei suoi utenti. Il database in questione apparteneva a un sito di incontri in esecuzione su un server Elastisearch e non era protetto da password. La scoperta che il database è stato esposto è stata fatta alla fine di agosto 2020 da ricercatori di sicurezza con vpnMentor.

Dopo che i ricercatori della sicurezza hanno contattato i proprietari del database, è stato rapidamente rimosso, ma ciò non significa che il database non sia trapelato con certezza. C'erano un totale di oltre 880 gigabyte di file di registro delle notifiche push archiviati nel database difettoso . È stato rilevato che i file di registro contenevano i dettagli di 66 milioni di notifiche generate negli ultimi quattro giorni, insieme alle informazioni personali di centinaia di migliaia di utenti.

L'aggregatore di servizi di incontri che gestisce il database memorizza le notifiche provenienti da oltre 70 diversi siti di incontri. Sembrava che molte delle notifiche fossero spam, con messaggi che offrivano agli uomini di trovare partner da parti del mondo come l'Asia o l'Europa orientale. Il modo in cui è stato impostato il sistema, le nuove notifiche hanno allarmato gli utenti che una presunta donna aveva inviato un messaggio per attirare le persone al servizio.

Informazioni utente personalmente identificabili esposte

Sebbene tutto ciò sia stato fatto con il consenso degli utenti, il problema è che c'erano molte informazioni personali coinvolte. Il database non memorizzava semplicemente le notifiche stesse, ma conteneva anche una parte contrassegnata come dati di "debug" che contenevano i dettagli personali degli utenti. Le informazioni di identificazione personale nei registri includevano nomi, e-mail, sesso, geolocalizzazione e dati sull'indirizzo IP.

A peggiorare le cose, le stringhe nelle notifiche contenevano anche collegamenti e chiavi di autenticazione ai profili utente, che potevano dare ai malintenzionati un accesso illimitato ai profili, senza nemmeno aver bisogno della password dell'utente. Chiunque potenzialmente si fosse impossessato del database non protetto avrebbe potuto accedere a tonnellate di informazioni sugli utenti, inclusi profili e messaggi passati inviati attraverso il servizio.

Le fughe di informazioni personali, in particolare legate a siti Web e servizi di appuntamenti, possono causare un mucchio di problemi alle persone coinvolte, inclusi tentativi di estorsione e ricatto.