Pažinčių programos dar kartą neapsaugo savo klientų: 6 programos lekia milijonus įrašų
Vienas iš dalykų, kuriuos labiausiai mėgstame internete, yra tai, kad jame galime rasti tiek daug informacijos. Įdomu, kad vienas iš dalykų, kurių labiausiai nekenčiame internete, yra ir tai, kad apie jį galime rasti tiek daug informacijos. Pavyzdžiui, „ WizCase“ saugumo tyrinėtojai neseniai atrado, kad jei jie žinotų, kur ieškoti, šešių pažinčių programų vartotojai galėtų rasti savo asmeninę informaciją duomenų bazėse, kurios nebuvo apsaugotos slaptažodžiu ir buvo prieinamos iš bet kurios pasaulio vietos.
Table of Contents
Penkiose prastai apsaugotose duomenų bazėse yra milijonai įrašų, kuriuose pilna asmeninės informacijos
Ekspertai atrado tris „ElasticSearch“ įrenginius, „Amazon S3 Bucket“ ir „MongoDB“ duomenų bazę, veikiančią internete ir prieinamą be jokios formos autentifikavimo. Du iš pardavėjų yra įsikūrę JAV, du yra įsikūrę Pietų Korėjoje, o vienas veikia Japonijoje, ir visi jie naudojasi pažinčių svetainėmis ir programomis. Čia yra paslaugų pavadinimai ir duomenys, iš kurių jie nutekėjo:
- CatholicSingles.com
- SPYKX.com
- Tiki
- Neryškus
- Charin ir Kyuun
S3 kaušas svėrė vos 17 MB ir turėjo šiek tiek kuklų 50 tūkst. Įrašų. Panašu, kad dauguma profilių yra uždrausti, tačiau paskutinė užfiksuota veikla yra nauja, o tai rodo, kad nutekėję duomenys greičiausiai galioja. Tai apima vardus, el. Pašto adresus, telefonų numerius, amžių, lytį, profesiją, atsiskaitymo adresus, mokėjimo metodus ir kt.
SPYKX.com yra Pietų Korėjos pardavėjas, kuriantis ir vykdantis keletą skirtingų paslaugų. Vienas iš jų yra pažinčių programa, vadinama „Condaq“ / „Kongdak“, ir dėl kažkokių priežasčių kūrėjas nusprendė, kad būtų gera idėja dalį programos vartotojų duomenų įdėti į neapsaugotą „ElasticSearch“ serverį. Apie 123 tūkst. Įrašų paviešinta 600 MB vertės asmeninė informacija, įskaitant el. Pašto adresus, paprasto teksto slaptažodžius, gimimo datas ir net GPS duomenis.
Tariamai „Tiki“ yra „naujos rūšies pažinčių programa“, ir, anot jos tinklalapio, vartotojas kontroliuoja, kokią asmeninę informaciją gali pamatyti datos. Šis teiginys yra ypač ironiškas, turint omenyje tai, kad „Tiki“ kūrėjas dalį minėtos informacijos įdėjo į „MongoDB“ duomenų bazę, kurią buvo galima pasiekti paprasta naršykle. Buvo paviešinta šiek tiek daugiau nei 4 tūkstančiai įrašų, kuriuose buvo viskas, pradedant vartotojo įvertinimais ir veiklos žurnalais, baigiant vardais, telefonų numeriais, datos vietomis ir pan.
Blurry yra Pietų Korėjos pasimatymų programa, leidžianti vartotojams sulieti ekraną vaizdo skambučių metu. Tariamai jis skirtas vartotojams, kurie pernelyg drovūs bendrauti ar nelabai pasitiki savo išvaizda, ir galite tik įsivaizduoti, kaip jausis šie žmonės, sužinoję, kad kai kuriuos jų asmeninius pokalbius atskleidė blogai sukonfigūruotas „ElasticSearch“ serveris. 70 tūkstančių įrašų nebuvo jokios asmeninės informacijos, tačiau nutekėjusiose žinutėse buvo pilna „WhatsApp“ numerių, „Instagram“ rankenų ir kitos informacijos, dėl kurios nukentėjusysis galėjo būti paleistas visokiais išpuoliais.
Dar viena neteisingai sukonfigūruota „ElasticSearch“ duomenų bazė priklauso „Charin“ ir „Kyuun“ - dviejų japonų programų, kurias, atrodo, valdo ta pati įmonė, kūrėjams. Tai buvo pats didžiausias nutekėjimas, turintis 57 GB neatskleistų duomenų ir šiek tiek daugiau nei 100 milijonų įrašų, prieinamų visuomenei. Nerimą kelia tai, kad be vartotojo ID, mobiliojo įrenginio informacijos ir paieškos nuostatų duomenų bazėje buvo ir paprasto teksto el. Pašto adresai bei slaptažodžiai.
Tai jau buvo gana didelis nutekėjimas, tačiau „WizCase“ tyrimas tuo nesibaigė.
Ekspertai negalėjo nustatyti dar šešių neapsaugotų duomenų bazių savininkų
Tyrėjai atrado dar šešias neužtikrintas duomenų bazes, kuriose pilna duomenų. Vėlgi, tai turėjo įtakos pažinčių paslaugų vartotojams, tačiau šį kartą paaiškėjo, kad kūrėjai nebuvo atsakingi už nutekėjimą.
Ekspertams pavyko susieti duomenis su keliomis programomis - „Zhenai“, „Say Love“, „Netease“, „Love Chat“ ir „Companion“. Tačiau jie teigė, kad duomenų bazėse nebuvo jokios asmenį identifikuojančios informacijos ir greičiausiai tai buvo žiniatinklio duomenų rinkimo rezultatas. Jie taip pat nurodo, kad kibernetiniai nusikaltėliai gali naudoti juose esančią informaciją kitiems viešai prieinamiems profiliams identifikuoti ir potencialiai gauti prieigą prie jautresnių duomenų.
Į ką vartotojai turi atkreipti dėmesį?
Niekada nėra smagu matyti, kad pažinčių programos skleidžia vartotojo duomenis. Nors paslaugos, apie kurias šiandien kalbame, nėra tokios nišinės, kaip tos, kurias aptarėme prieš kelias savaites, nukentėję asmenys gali nebūtinai domėtis visu pasauliu žinodami, kad jomis naudojasi.
Deja, kadangi dalyvauja tiek daug programų, mes negalime žinoti, kiek žmonių paveikė nutekėjimai. Tačiau mes žinome, kad jei pasinaudojote kuria nors iš šiame straipsnyje minimų paslaugų, turite būti daug atsargesni nei įprastai. Kai kurių duomenų bazių duomenys gali suteikti elektroniniams nusikaltėliams viską, ko jiems reikia norint apsimesti jumis ir pavogti jūsų internetinę tapatybę. Be to, jie gali tai naudoti norėdami rasti daugiau informacijos apie jus ir įrengti papildomas atakas.
Bandymai šantažuoti remiantis tuo, kad naudojate pažinčių programą, kai kuriais atvejais nėra svarbūs, o atskleisti paprasto teksto slaptažodžiai beveik neabejotinai bus naudojami kredencialų įdaruose.
