Le app di appuntamenti non riescono a proteggere nuovamente i loro clienti: 6 app perdono milioni di record

Six Dating Apps Leak Millions of Records

Una delle cose che amiamo di più di Internet è il fatto che possiamo trovare così tante informazioni su di essa. Curiosamente, una delle cose che odiamo di più di Internet è anche il fatto che possiamo trovare così tante informazioni su di esso. I ricercatori della sicurezza di WizCase, ad esempio, hanno recentemente scoperto che se sapessero dove cercare, gli utenti di sei app di incontri potrebbero trovare i loro dati personali esposti in database che non erano protetti con una password e accessibili da qualsiasi parte del mondo.

Cinque database scarsamente protetti trapelano milioni di record pieni di informazioni personali

Gli esperti hanno scoperto tre installazioni ElasticSearch, un bucket Amazon S3 e un database MongoDB esposto a Internet e accessibile senza alcuna forma di autenticazione. Due dei fornitori hanno sede negli Stati Uniti, due si trovano nella Corea del Sud e uno opera in Giappone e tutti gestiscono siti Web e applicazioni di incontri. Ecco i nomi dei servizi e i dati trapelati:

  • CatholicSingles.com

    • Il secchio S3 pesava solo 17 MB e conteneva 50.000 record piuttosto modesti. La maggior parte dei profili sembra essere vietata, ma l'ultima attività registrata è recente, il che dimostra che i dati trapelati sono molto probabilmente validi. Include cose come nomi, indirizzi e-mail, numeri di telefono, età, sesso, occupazione, indirizzi di fatturazione, metodi di pagamento, ecc.

  • SPYKX.com

    • SPYKX.com è un fornitore sudcoreano che sviluppa e gestisce diversi servizi. Una di queste è un'applicazione di incontri chiamata Condaq / Kongdak e, per qualche ragione, lo sviluppatore ha deciso che sarebbe una buona idea mettere alcuni dei dati dell'utente dell'app su un server ElasticSearch non protetto. Circa 123 mila record hanno esposto 600 MB di dati personali, inclusi indirizzi e-mail, password in chiaro, date di nascita e persino dati GPS.

  • Tiki

    • Tiki è, presumibilmente, "un nuovo tipo di app di appuntamenti" e, secondo il suo sito Web, l'utente ha il controllo sul tipo di informazioni personali che le potenziali date possono vedere. Questa affermazione è particolarmente ironica, dato che lo sviluppatore di Tiki ha inserito alcune di queste informazioni in un database MongoDB che era accessibile con un semplice browser. Sono stati esposti poco più di 4 mila record, che includevano qualsiasi cosa, dalle valutazioni degli utenti e dai registri delle attività a nomi, numeri di telefono, date, ecc.

  • Sfocato

    • Blurry è un'applicazione di incontri sudcoreana che consente agli utenti di sfocare lo schermo durante le videochiamate. Presumibilmente è rivolto agli utenti che sono troppo timidi per interagire o che non sono molto sicuri del loro aspetto e puoi solo immaginare come si sentiranno queste persone quando apprenderanno che alcune delle loro conversazioni private sono state esposte da un server ElasticSearch mal configurato. I 70 mila record non contenevano alcun dettaglio personale, ma i messaggi trapelati erano pieni di numeri di WhatsApp, handle di Instagram e altre informazioni che potevano esporre la vittima a tutti i tipi di attacchi.

  • Charin e Kyuun

    • Un altro database ElasticSearch non configurato correttamente appartiene agli sviluppatori di Charin e Kyuun, due app giapponesi che sembrano essere gestite dalla stessa azienda. È stata di gran lunga la più grande perdita, con 57 GB di dati esposti e poco più di 100 milioni di record aperti al pubblico. In modo preoccupante, oltre agli ID utente, alle informazioni sui dispositivi mobili e alle preferenze di ricerca, il database conteneva indirizzi e-mail e password in testo semplice.

Era già una perdita abbastanza sostanziale, ma le indagini di WizCase non si fermarono qui.

Gli esperti non sono stati in grado di identificare i proprietari di altri sei database non protetti

I ricercatori hanno scoperto altri sei database non garantiti pieni di dati. Ancora una volta, gli utenti dei servizi di appuntamenti sono stati colpiti, ma questa volta è sembrato che gli sviluppatori non fossero responsabili della perdita.

Gli esperti sono riusciti a collegare i dati a diverse app: Zhenai, Say Love, Netease, Love Chat e Companion. Hanno affermato, tuttavia, che i database non contenevano alcuna informazione di identificazione personale e che molto probabilmente erano il risultato del web scraping. Inoltre, i criminali informatici possono utilizzare le informazioni in essi contenute per identificare altri profili disponibili al pubblico e potenzialmente ottenere l'accesso a dati più sensibili.

Cosa devono cercare gli utenti?

Non è mai divertente vedere le app di appuntamenti che perdono i dati dell'utente. Sebbene i servizi di cui stiamo parlando oggi non siano di nicchia come quelli di cui abbiamo discusso alcune settimane fa, le persone interessate potrebbero non essere appassionate del mondo intero sapendo che le stanno usando.

Sfortunatamente, poiché sono coinvolte così tante app, non abbiamo modo di sapere quante persone sono interessate dalle perdite. Quello che sappiamo, tuttavia, è che se hai utilizzato uno dei servizi menzionati in questo articolo, devi essere molto più attento di quanto non lo sia di solito. I dati di alcuni database possono fornire ai criminali informatici tutto ciò di cui hanno bisogno per impersonare te e rubare la tua identità online. Inoltre, possono usarlo per trovare ulteriori informazioni su di te e montare attacchi aggiuntivi.

I tentativi di ricatto basati sul fatto che stai utilizzando un'app di appuntamenti non sono inammissibili in alcuni casi e le password di testo normale esposte verranno quasi certamente utilizzate negli attacchi di riempimento delle credenziali.

Entro il Duran
July 7, 2020
News
Italiano
July 7, 2020
News

Post popolari

Microsoft avverte che gli autori di minacce sostenute dallo...

4 days fa

Rilevamento malware Trojan Al11

11 months fa

Pinaview è un'app adware completa

10 months fa

Pop-up "Il tuo iCloud è stato violato" e "Il tuo iPhone è...

7 months fa

Cos'è Lucky Ransomware?

7 months fa

Truffa e-mail "American Express: aggiorna le informazioni del...

6 months fa
Italiano
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.