Neapsaugota Pažinčių tarnybos duomenų bazė nutekina asmens duomenis
Į kitą internetinio serverio duomenų bazę įsilaužta ir paviešinti asmeniniai jos vartotojų duomenys. Aptariama duomenų bazė priklausė pažinčių svetainei, veikiančiai „Elastisearch“ serveryje ir nebuvo apsaugota slaptažodžiu. Atradimą, kad duomenų bazė buvo atskleista, 2020 m. Rugpjūčio pabaigoje atliko saugumo tyrėjai su „vpnMentor“.
Saugumo tyrėjams susisiekus su duomenų bazių savininkais, jis buvo greitai pašalintas, tačiau tai nereiškia, kad duomenų bazė tikrai neteko. Sugedusioje duomenų bazėje iš viso buvo saugoma daugiau nei 880 gigabaitų „push“ pranešimų žurnalo failų. Buvo nustatyta, kad žurnalo failuose yra išsami informacija apie 66 milijonus pranešimų, gautų per paskutines keturias dienas, kartu su šimtų tūkstančių vartotojų asmenine informacija.
Duomenų bazę valdantis pažinčių paslaugų rinkėjas saugojo pranešimus iš daugiau nei 70 skirtingų pažinčių svetainių. Paaiškėjo, kad daugybė pranešimų buvo šlamštas. Pranešimuose vyrams buvo siūloma susirasti partnerių iš tokių pasaulio vietų kaip Azija ar Rytų Europa. Sistemos sukūrimo būdai, nauji pranešimai sunerimo vartotojams, kad tariama moteris išsiuntė pranešimą, kad priviliotų žmones grįžti į tarnybą.
Atskleista asmenį identifikuojanti vartotojo informacija
Nors visa tai buvo padaryta gavus vartotojų sutikimą, problema yra ta, kad buvo įtraukta daug asmeninės informacijos. Duomenų bazėje buvo ne tik patys pranešimai, bet ir joje esanti dalis, pažymėta kaip „derinimo“ duomenys, kuriuose buvo asmeninė vartotojų informacija. Žurnaluose esančioje asmens identifikavimo informacijoje buvo vardai, el. Pašto adresai, lytis, taip pat geografinės padėties ir IP adreso duomenys.
Dar blogiau, kad pranešimų eilutėse taip pat buvo nuorodų ir autentifikavimo raktų į vartotojų profilius, kurie blogiems veikėjams galėtų suteikti neribotą prieigą prie profilių, net nereikalaujant vartotojo slaptažodžio. Kiekvienas, kuris galbūt gavo neapsaugotą duomenų bazę, galėjo pasiekti daugybę naudotojų informacijos, įskaitant profilius ir ankstesnius pranešimus, išsiųstus visoje tarnyboje.
Asmeninės informacijos nutekėjimas, ypač susijęs su pažinčių svetainėmis ir paslaugomis, gali sukelti daug problemų dalyvaujantiems žmonėms, įskaitant turto prievartavimą ir šantažą.