Šokiruojantis „Key Ring“ programos duomenų nutekėjimas atskleidė 14 milijonų vartotojų

Jei vis dar manote, kad rimti duomenų nutekėjimai nėra tokie įprasti, turime istoriją, kuri gali tiesiog pakeisti savo mintis. Sausio mėnesį tyrėjų komanda, vadovaujama Noamo Rotemo ir Ran Locaro, rado blogai sukonfigūruotą „AWS S3“ kibirą, kuriame buvo atskleidžiama daug informacijos. Deja, savo straipsnyje, skirtame „ vpnMentor“, ekspertai pripažino, kad tuo metu jie buvo taip užsiėmę pranešimais apie kitus duomenų nutekėjimus, kad negalėjo nedelsdami ištirti problemos ir pranešti žmonėms, atsakingiems už poveikį. Tik maždaug po mėnesio jie pagaliau ėmėsi darbo dėl šio konkretaus nutekėjimo.

Paslaugų teikėjai vis dar stengiasi išmanyti debesų saugojimo sprendimų siūlomus saugos mechanizmus, o nutekėjimai atsiranda kairėje, dešinėje ir centre. Ekspertai nesugeba suspėti ir, kaip visada, nieko neįtariančiam vartotojui paliekama atsakomybė. Šiuo atveju galimos pasekmės buvo didžiulės.

„Key Ring“ programa atskleidžia vartotojų skaitmenines pinigines visam pasauliui

Pirmame tyrėjų rastame kauše buvo 44 milijonų vaizdų. Tai yra daug duomenų, tačiau tikrai šokiruojanti yra atskleistos informacijos pobūdis. Suradę laiko ištirti, tyrėjai išsiaiškino, kad neteisingai sukonfigūruotas S3 kaušas priklausė „Key Ring“ - mobiliajai programai, kuri, be kita ko, suteikia galimybę skaitmeninti didžiąją dalį jūsų piniginės turinio. Tai leidžia fotografuoti ir saugoti virtualias minčių kopijas, pavyzdžiui, narystės ir dovanų korteles. Kai kurie iš 14 milijonų žmonių, naudojančių programą, taip pat įkėlė nuskaitytas kredito korteles ir asmens dokumentus. Kol jie tai darė, jie tikriausiai manė, kad jų duomenys bus saugiai saugomi. Jie klydo.

Netinkamai sukonfigūruotame S3 segmente buvo nuskaitytos kredito kortelės, narystės ir lojalumo kortelės, medicininių kanapių kortelės, vairuotojo pažymėjimai ir kiti identifikavimo dokumentai. Vaizdai buvo saugomi visiškai aiškiai ir buvo prieinami iš bet kurios pasaulio vietos. Jau galite pamatyti, kaip smarkiai nutekėjimas gali paveikti vartotojus. Deja, tai dar nebuvo pabaiga.

„Key Ring“ neteisingai sukonfigūruoti S3 kaušai nutekino daugybę asmeninės informacijos

Tame pačiame kibire tyrėjai rado keletą CSV failų, kuriuose buvo asmeniškai identifikuojama informacija (PII), priklausanti milijonams žmonių. Šie žmonės buvo „Key Ring“ partnerių, tokių kaip „Walmart“, narystės sąrašuose, o sąrašuose buvo daugybė asmeninių duomenų, tokių kaip vardai, adresai, gimimo datos ir kt.

Po truputį daugiau niurnėjimo Noamo Rotemo ir Ran Locaro komanda rado dar keturis netinkamai sukonfigūruotus S3 kaušus, susijusius su „Key Ring“. Jose buvo senos programos duomenų bazės nuotraukos ir, be kita ko, paviešinti vartotojų el. Pašto adresai ir namų adresai, IP, prietaiso informacija ir kt. Duomenų bazėse taip pat buvo slaptažodžiai, kurie, tyrėjų teigimu, buvo „užšifruoti“. Deja, jų sukramtymo mechanizmas išlieka neaiškus.

Taip pat nežinoma, ar tyrėjai buvo vieninteliai, kuriems pavyko rasti paviešintus duomenis. Vasario 18 d. Jiems pagaliau pavyko susisiekti su „Key Ring“ ir „Amazon“, o po dviejų dienų kaušai buvo ištraukti neprisijungus, tačiau šiuo metu mes nežinome, kada jie buvo sudėti į pirmąją vietą. Deja, turėtume pabrėžti, kad nors informacija buvo užtikrinta palyginti greitai, „Key Ring“ požiūris į įvykį vargu ar pavyzdingas.

Kai įvyksta toks nutekėjimas, vartotojai tikisi gauti atskirus pranešimus, kuriuose nurodoma, kas nutiko ir ko jiems reikia atkreipti dėmesį. Tuo tarpu plačioji visuomenė tikisi iš pardavėjo oficialaus pranešimo, kuriame taip pat pateikiama išsami informacija apie incidentą ir apie atsargumo priemones, kurių imamasi siekiant užtikrinti, kad tai nepasikartotų. Su „Key Ring“ mes nematėme nė vieno iš šių dalykų.

Atskleistų duomenų kiekis kartu su oficialaus atsakymo nebuvimu reiškia, kad mes negalime padaryti nieko daugiau, kaip tik manyti, kad nukentėjo visi 14 milijonų „Key Ring“ vartotojų. Jei esate vienas iš jų, turite būti daug atsargesnis nei įprastai, ypač jei programoje išsaugojote neskelbtinus duomenis.