Più di 20 milioni di file sono stati rubati da 9 diverse app di incontri

Per dimostrare quanto possano essere pericolosi i database non garantiti, un gruppo di ricercatori ha recentemente riempito un'installazione di Elasticsearch con dati fittizi, li ha deliberatamente configurati in modo errato e ha aspettato di vedere quanto tempo avrebbero impiegato gli hacker per trovarli e iniziare a raccogliere informazioni. Il primo attacco è stato assistito entro otto ore dall'entrata in linea del database e nei dieci giorni successivi è stato effettuato l'accesso all'honeypot in media diciotto volte al giorno. Questi risultati dovrebbero essere particolarmente angoscianti per gli utenti di alcune app di incontri di nicchia che, come avresti potuto immaginare, avevano alcuni dei loro dati archiviati in un database scarsamente sicuro.

Almeno nove app di incontri hanno esposto dati utente espliciti in un bucket S3 non protetto

È l'ultimo di una lunga serie di scoperte fatte dal team di ricercatori di VPNMentor guidato da Noam Rotem e Ran Locar. Come parte del loro massiccio progetto di mappatura web, hanno individuato un bucket S3 Amazon Web Services non protetto il 24 maggio. In totale, il database conteneva 20,4 milioni di file con un peso di 845 GB.

Una delle cose interessanti del database era che le informazioni di identificazione personale esposte erano limitate. C'erano parecchi file multimediali, tuttavia, e siamo abbastanza sicuri che ai loro proprietari sarebbe piaciuto che rimanessero privati. C'erano molte foto sessualmente esplicite con facce visibili su di esse, schermate di conversazioni in chat, messaggi vocali, nonché dettagli di transazioni finanziarie.

Per proteggere la privacy degli utenti esposti, i ricercatori hanno deciso di non esaminare accuratamente i dati, il che significa che è impossibile stimare correttamente il numero esatto di persone interessate. Rotem e Locar hanno affermato nel loro rapporto, tuttavia, che centinaia di migliaia e forse milioni di utenti sono coinvolti.

I dati sono stati divulgati da più applicazioni di incontri. L'indagine dei ricercatori li ha portati a una società chiamata "Cheng Du New Tech Zone", che era elencata nella sezione contatti di più applicazioni di collegamento su Google Play. Le somiglianze nella progettazione del sito Web delle app hanno confermato che molto probabilmente sono state sviluppate dallo stesso gruppo di persone. Ecco la lista:

• GHunt
• Incontri Herpes
• SugarD
• Casualx
• Incontri BBW
• XPAL
• Orso papà gay
• Cougary
• 3somes

Gli esperti sono certi che queste nove applicazioni siano state coinvolte nella violazione, ma ritengono che anche gli utenti di altre app dello stesso sviluppatore potrebbero essere interessati.

Le conseguenze della perdita potrebbero essere orribili

La buona notizia è che i dati non sono più online. Due giorni dopo aver scoperto il secchio che perde, i ricercatori hanno utilizzato il modulo di contatto di una delle app interessate e, con loro sorpresa, hanno ricevuto una risposta quasi immediatamente. Il team di VPNMentor ha risposto alla richiesta di ulteriori informazioni inviando l'URL di uno dei database. Nonostante il fatto che lo sviluppatore abbia deciso di non comunicare ulteriormente con i ricercatori, tutti i dati sono stati estratti offline entro 24 ore. Al momento in cui scrivo, alcune app sembrano essere state rimosse anche da Google Play.

Va tutto bene, ma inutile dirlo, lo sviluppatore non avrebbe dovuto commettere l'errore in primo luogo. Come puoi vedere, non stiamo parlando dei tuoi tipici concorrenti di Tinder. Le app sono rivolte a persone con specifiche preferenze e feticci sessuali che potrebbero essere stigmatizzati. Coloro che li usano probabilmente non vogliono annunciarlo pubblicamente e certamente non vogliono esporre le immagini e le conversazioni che condividono tra loro. Se i dati cadono nelle mani sbagliate, i criminali potrebbero perdere le immagini, condannare le persone colpite o estorcerle. I lavori potrebbero andare persi, le famiglie potrebbero essere distrutte e la reputazione potrebbe essere rovinata.

Il mantenimento delle app di appuntamenti comporta sempre un maggior grado di responsabilità. Le persone si fidano di questi prodotti con i loro segreti più intimi a volte, e possiamo tranquillamente affermare che nel caso delle applicazioni di appuntamenti di Cheng Du New Tech Zone, la loro fiducia era mal riposta. L'unica cosa che possono fare ora è sperare che, nonostante i risultati del documento di ricerca di cui abbiamo parlato nel primo paragrafo, nessuno oltre agli esperti di VPNMentor abbia visto i dati espliciti.