Una perdita di dati app portachiavi scioccante ha esposto 14 milioni di utenti

Se pensi ancora che gravi perdite di dati non siano così comuni, abbiamo una storia che potrebbe solo farti cambiare idea. A gennaio, un team di ricercatori guidato da Noam Rotem e Ran Locar ha trovato un bucket AWS S3 mal configurato che esponeva una grande quantità di informazioni. Sfortunatamente, nel loro articolo per vpnMentor, gli esperti hanno ammesso di essere stati così impegnati a segnalare altre perdite di dati in quel momento, che non sono stati in grado di indagare immediatamente sul problema e informare le persone responsabili dell'esposizione. Fu solo circa un mese dopo che finalmente iniziarono a lavorare su questa particolare perdita.

I fornitori di servizi stanno ancora lottando per acquisire familiarità con i meccanismi di sicurezza offerti dalle soluzioni di archiviazione cloud e le perdite appaiono a sinistra, a destra e al centro. Gli esperti non sono in grado di tenere il passo e, come sempre, l'utente ignaro è tenuto a sopportarne le conseguenze. In questo caso, le potenziali conseguenze sono state enormi.

L'app Key Ring espone i portafogli digitali degli utenti a tutto il mondo

Il primo secchio trovato dai ricercatori conteneva ben 44 milioni di immagini. Sono molti dati, ma la parte veramente scioccante è la natura delle informazioni esposte. Una volta trovato il tempo per indagare, i ricercatori hanno scoperto che il bucket S3 non configurato correttamente apparteneva a Key Ring, un'applicazione mobile che ti offre, tra le altre cose, la possibilità di digitalizzare la maggior parte dei contenuti del tuo portafoglio. Ti consente di fotografare e archiviare copie virtuali di idee come tessere associative e buoni regalo. Alcuni dei 14 milioni di persone che utilizzano l'app hanno anche caricato scansioni delle loro carte di credito e documenti di identità personali. Mentre lo facevano, probabilmente pensavano che i loro dati sarebbero stati archiviati in modo sicuro. Avevano torto.

Il bucket S3 non configurato correttamente conteneva scansioni di carte di credito, tessere associative e fedeltà, carte di cannabis medica, patenti di guida e altri documenti di identificazione. Le immagini sono state archiviate completamente in chiaro ed erano accessibili da qualsiasi parte del mondo. Puoi già vedere quanto la perdita può influire negativamente sugli utenti. Sfortunatamente, non era la fine.

I secchi S3 configurati male di Key Ring hanno trapelato tonnellate di informazioni personali

Nello stesso bucket, i ricercatori hanno trovato alcuni file CSV che contenevano informazioni di identificazione personale (PII) che appartengono a milioni di persone. Queste persone erano nelle liste dei membri dei partner di Key Ring come Walmart e le liste contenevano una miriade di dettagli personali come nomi, indirizzi, date di nascita, ecc.

Dopo aver frugato un po 'di più, il team di Noam Rotem e Ran Locar ha individuato altri quattro secchi S3 non configurati correttamente associati al Key Ring. Contenevano vecchie istantanee del database dell'app ed esponevano, tra le altre cose, gli indirizzi e-mail e di casa degli utenti, gli IP, le informazioni sul dispositivo, ecc. I database contenevano anche password che, secondo i ricercatori, erano "crittografate". Sfortunatamente, il meccanismo per rimescolarli rimane poco chiaro.

Non è inoltre noto se i ricercatori siano stati i soli a trovare i dati esposti. Il 18 febbraio sono finalmente riusciti a mettersi in contatto con Key Ring e Amazon, e due giorni dopo, i secchi sono stati rimossi offline, ma a questo punto, non sappiamo quando sono stati installati. Sfortunatamente, dovremmo sottolineare che, sebbene le informazioni siano state rese sicure relativamente rapidamente, l'atteggiamento di Key Ring nei confronti dell'incidente non è affatto esemplare.

Quando si verificano perdite di questo tipo, gli utenti si aspettano di ricevere singole notifiche che dicono loro cosa è successo e cosa devono cercare. Nel frattempo, il pubblico si aspetta un annuncio ufficiale da parte del venditore, che fornisce anche dettagli sull'incidente e sulle precauzioni prese per garantire che non si verifichi più. Con Key Ring non abbiamo visto nessuna di queste cose.

Il volume dei dati esposti, unito alla mancanza di una risposta ufficiale, significa che non possiamo fare altro che supporre che tutti i 14 milioni di utenti Key Ring siano interessati. Se sei uno di loro, devi essere molto più cauto di quello che sei normalmente, soprattutto se hai memorizzato dati sensibili con l'app.