Migliaia di utenti PhotoSquared stanno affrontando una violazione dei dati
Come alcuni di voi sanno ormai, Noam Rotem e Ran Locar guidano un team di ricercatori di VPN Mentor che ha il compito di un progetto di mappatura web su larga scala progettato per scoprire e proteggere database scarsamente protetti che perdono informazioni sensibili. Negli ultimi mesi, hanno segnalato una serie di enormi violazioni dei dati e hanno davvero dimostrato quanto spesso le aziende non fanno abbastanza per proteggere i dati degli utenti. Rotem e Locar hanno ammesso che scoprire chi sta perdendo le informazioni spesso richiede giorni di indagine e molto duro lavoro. Con la loro scoperta più recente, tuttavia, non è stato così.
Durante una sessione di scansione delle porte, il team di Rotem e Locar ha scoperto un bucket AWS S3 accessibile al pubblico e non protetto da password. Contiene poco meno di 95 GB di dati e il nome del suo proprietario era disponibile nell'URL - PhotoSquared.
Che cos'è PhotoSquared?
Hai maggiori possibilità di comprendere l'entità della perdita se sai cosa fa PhotoSquared. Vuole essere una delle risposte del 21 ° secolo al negozio degli sviluppatori di foto. Invece di andare in una posizione fisica e consegnare manualmente le foto desiderate in forma stampata, è sufficiente utilizzare l'app mobile per scegliere i tuoi scatti preferiti dal rullino fotografico o dai feed dei social media. Un pagamento online in seguito, PhotoSquared stampa le tue foto su schede da 8 "x 8" e le riporta al tuo indirizzo. Sembra molto conveniente, motivo per cui oltre 100 mila persone hanno scaricato l'app da Google Play. Il modello di business significa, tuttavia, che qualcuno, da qualche parte, ha il compito di gestire i dettagli personali e le foto preferite di un gran numero di utenti. Purtroppo, qualcuno non ha fatto un ottimo lavoro.
Un bucket S3 non configurato correttamente perde le foto e le informazioni personali di centinaia di migliaia di utenti
La dimensione del database è stata una buona idea di ciò che conteneva. Quando l'hanno aperto, Noam Rotem e Ran Locar hanno trovato circa 1 milione di dischi che includevano:
- Foto degli utenti preparate per la modifica e la stampa
- Registri e ricevute degli ordini salvati come documenti PDF
- Etichette e informazioni sulla spedizione
- Nomi degli utenti
- Indirizzi di casa e di consegna
È difficile dire quante persone siano interessate dalla perdita, ma i ricercatori hanno sottolineato che le informazioni nel database sono state raccolte tra novembre 2016 e gennaio 2020, il che rappresenta un arco di tempo significativo. Come hanno anche notato gli esperti, le potenziali ripercussioni sono abbastanza spaventose.
Una combinazione di foto private e informazioni personali (compresi gli indirizzi di casa) potrebbe fornire a un potenziale scassinatore una visione abbastanza buona della vita del suo obiettivo. Inoltre, i dettagli trapelati possono fungere da punto di partenza per ulteriori ricognizioni e ulteriori attività criminali.
Rotem e Locar hanno scoperto il bucket non protetto il 30 gennaio e hanno contattato lo sviluppatore dell'app il 4 febbraio. PhotoSquared ha impiegato dieci giorni interi per proteggere il database, ma per fortuna ora è offline. Non ci sono prove che qualcuno stia abusando dei dati esposti, il che significa che possiamo fare poco più che sperare che tutti abbiano imparato le loro lezioni.
L'incidente è il prossimo di una lunga serie di tristi promemoria che, sebbene app come PhotoSquared portino una buona dose di convenienza e novità nella nostra vita, usarle spesso significa fidarsi di loro con un sacco di informazioni personali estremamente sensibili. Questo è qualcosa che dovremmo probabilmente tenere a mente prima di premere il pulsante Installa.
La violazione dovrebbe anche ricordare agli sviluppatori di queste app che la gestione dei dati di centinaia di migliaia di persone è una grande responsabilità. Semplici errori di configurazione errata come quello fatto da PhotoSquared dovrebbero essere completamente intollerabili.
