„Kinomap“ yra naujausia informacijos nutekinimo programa dėl siaubingo duomenų bazių tvarkymo
Gyventi per koronaviruso pandemiją ir ją užklupti nėra lengva, tačiau visi, kurie jaučia pagundą pradėti skųstis, neturėtų pamiršti, kad tai galėjo būti daug blogiau. Technologijos dėka daugelį dalykų, kuriems anksčiau reikėjo išeiti, dabar galime padaryti iš patogumų savo namuose. Tokios programos kaip „Kinomap“ netgi gali padėti mums išlaikyti formą neišeinant iš namų, o tai ypač svarbu atsižvelgiant į dabartinę situaciją.
Deja, dėl papildomų patogumų kyla tam tikrų problemų. Kibernetinis saugumas yra vienas iš jų, o liūdnas dalykas yra tai, kad mes apie tai negalvojame daug. „ VpnMentor“ tyrėjai mums parodė, kodėl turėtume stengtis ir tam skirti daugiau dėmesio.
„Kinomap“ neapsaugotoje duomenų bazėje paliko daugiau nei 42 milijonus įrašų
Vadovaujami Noamo Rotemo ir Ran Locaro, „vpnMentor“ tyrimų komanda sugalvojo žiniatinklio žemėlapių projektą, kuris nuskaito IP adresų blokus ir randa prijungtus įrenginius, kurie nėra tinkamai sukonfigūruoti. Tyrimai buvo vykdomi tam tikrą laiką, todėl buvo nustatyta ir ištaisyta nemažai duomenų nutekėjimų. Minėtasis „Kinomap“ yra naujausias taikymas, patekęs į tyrinėtojų akiratį.
Praėjusį mėnesį jie atrado 40 GB duomenų bazę, kuri nebuvo apsaugota slaptažodžiu. Greitas žvilgsnis leido tyrėjams sužinoti, kad jie ieško informacijos, kurią surinko „Kinomap“, ir atidžiau apžiūrėję suprato, kad joje yra apie 42 milijonų vartotojų asmeninė informacija.
Nors jie negali būti tikri, „vpnMentor“ ekspertai mano, kad tai gali būti visa „Kinomap“ vartotojo bazė. Paveikti asmenys yra paplitę visame pasaulyje, ir jie turi būti ypač atidūs, nes jų namų treniruotėse naudojama pakankamai informacijos apie juos. Tarp nutekėjusių detalių tyrėjai nustatė:
- Vardai
- „Kinomap“ vartotojo vardai
- Pašto adresai
- Gimtosios šalys
Įrašuose taip pat buvo informacija apie telemetriją apie tai, kaip programa buvo naudojama, taip pat nuorodos į asmenų paskyras. Tai kartu su aukščiau pateiktais duomenimis galėtų suteikti įsilaužėliams galimybę organizuoti sudėtingas sukčiavimo išpuolių atakas.
Kai kuriuose įrašuose ekspertai rado API raktus, kurie užpuolikams leistų perimti visas paskyras.
„Kinomap“ kūrėjai vargu ar yra pirmieji žmonės, neteisingai sukonfigūravę prie interneto prijungtą duomenų bazę, ir greičiausiai jie nebus paskutiniai. Tokiais atvejais svarbu pamatyti paslaugų teikėjus ir programinės įrangos gamintojus, kurie patys priima savo klaidas ir bando iš jų pasimokyti. Tačiau žmonės, atsakingi už „Kinomap“, laikėsi kitokio požiūrio.
„Kinomap“ nori nekomentuoti netinkamai sukonfigūruotos duomenų bazės
„vpnMentor“ ekspertai neteisingai sukonfigūruotą „Kinomap“ duomenų bazę atrado kovo 16 d., o po poros dienų bandė susisiekti su kūrėju. Neišgirdę nieko mažiau nei dvi savaites, jie dar kartą mėgino atskleisti nutekėjimą kovo 30 d. Tyrėjai norėjo būti tikri, kad kas nors išspręs problemą, todėl jie taip pat informavo Komisijos nacionalinę de l'informatique et des libertés ( CNIL), privatumo reguliatorius Prancūzijoje, šalyje, kurioje yra „Kinomap“ kūrėjai. Balandžio 12 d. Duomenų bazė buvo galutinai panaikinta, ir tyrėjai mano, kad tai greičiausiai dėl CNIL įsitraukimo.
Kai Sophos Lisa Vaas susisiekė su „Kinomap“, programos kūrėjai galiausiai atsakė. Bendrovė teigė, kad pažeidimą „ištaisė“ iš karto po to, kai apie jį buvo pranešta, o tai, kaip matote, yra visiškai priešingi tam, ką pranešė saugumo ekspertai. ES Bendrąjį duomenų apsaugos reglamentą (GDPR) vykdančios institucijos turėtų nuspręsti, ar „Kinomap“ kūrėjų reakcija buvo tinkama.