Tūkstančiai „PhotoSquared“ vartotojų susiduria su duomenų pažeidimais

PhotoSquared Data Breach

Kaip kai kurie iš jūsų dabar gali žinoti, Noam Rotem ir Ran Locar vadovauja „VPN Mentor“ tyrėjų komandai, kuriai pavesta vykdyti plataus masto interneto žemėlapių sudarymo projektą, skirtą atidaryti ir apsaugoti silpnai apsaugotas duomenų bazes, iš kurių sklinda neskelbtina informacija. Per pastaruosius keletą mėnesių jie pranešė apie daugybę masinių duomenų pažeidimų ir iš tikrųjų parodė, kaip dažnai įmonės nedaro pakankamai, kad apsaugotų vartotojų duomenis. Rotem ir Locar pripažino, kad norint išsiaiškinti, kas skleidžia informaciją, dažnai reikia kelių dienų tyrimo ir daug sunkaus darbo. Tačiau su paskutiniu jų atradimu taip nebuvo.

Uosto nuskaitymo sesijos metu „Rotem“ ir „Locar“ komanda atrado AWS S3 segmentą, kuris buvo viešai prieinamas ir nebuvo apsaugotas slaptažodžiu. Jame buvo vos 95 GB duomenų, o jo savininko vardas buvo nurodytas URL - „PhotoSquared“.

Kas yra „PhotoSquared“?

Didesnė tikimybė suprasti nuotėkio mastą, jei žinote, ką daro „PhotoSquared“. Tai nori būti vienas iš XXI amžiaus atsakymų į nuotraukų kūrėjų parduotuvę. Užuot nuvykę į fizinę vietą ir neautomatiniu būdu atidavę norimas nuotraukas spausdintine forma, tiesiog naudokite mobiliąją programą norėdami pasirinkti savo mėgstamiausius užfiksuotus elementus iš savo fotoaparato ritinio ar socialinės žiniasklaidos kanalų. Vykdydamas mokėjimą internetu, „PhotoSquared“ išspausdins jūsų nuotraukas ant 8 "x 8" lentų ir vėl jas atsiųs jūsų adresu. Tai skamba labai patogiai, todėl turbūt daugiau nei 100 tūkst. Žmonių atsisiuntė programą iš „Google Play“. Tačiau verslo modelis reiškia, kad kažkuriam asmeniui pavesta tvarkyti daugybės vartotojų asmeninę informaciją ir mėgstamas nuotraukas. Deja, kad kažkas nepadarė labai gero darbo.

Neteisingai sukonfigūruotas S3 kaušas nutekina šimtų tūkstančių vartotojų nuotraukas ir asmeninę informaciją

Duomenų bazės dydis buvo gana geras dalykas, nurodant joje esančią informaciją. Atidarius jį, Noamas Rotemas ir Ran Locar rado apie 1 milijoną įrašų, kuriuose buvo:

  • Vartotojo nuotraukos paruoštos redaguoti ir spausdinti
  • Užsakymo įrašai ir kvitai išsaugomi kaip PDF dokumentai
  • Etiketės ir informacija apie gabenimą
  • Vartotojų vardai
  • Namų ir pristatymo adresai

Sunku pasakyti, kiek žmonių paveikė nutekėjimas, tačiau tyrėjai atkreipė dėmesį, kad duomenų bazėje informacija buvo renkama nuo 2016 m. Lapkričio mėn. Iki 2020 m. Sausio mėn., O tai yra nemažas laiko tarpas. Kaip pažymėjo ir ekspertai, galimi padariniai yra gana baisūs.

Asmeninių nuotraukų ir asmeninės informacijos (įskaitant namų adresus) derinys potencialiam įsilaužėjui galėtų suteikti gana gerą įžvalgą apie jų tikslą. Be to, nutekėjusios detalės gali būti papildomos žvalgybos ir tolesnės nusikalstamos veiklos atskaitos taškas.

Rotem ir Locar rado neapsaugotą kibirą sausio 30 d. Ir susisiekė su programos kūrėju vasario 4 d. Duomenų bazės saugojimui reikėjo „PhotoSquared“ dešimt dienų, tačiau, laimei, dabar ji neprisijungusi. Nėra įrodymų, kad kas nors piktnaudžiauja atskleidžiamais duomenimis, vadinasi, galime padaryti ne ką daugiau, nei tikėtis, kad visi išmoko savo pamokas.

Šis įvykis yra labai trumpas priminimas, kad nors tokios programos kaip „PhotoSquared“ įneša į mūsų gyvenimą daugybę patogumų ir naujumo, jų naudojimas dažnai reiškia pasitikėjimą gana slapta asmenine informacija. Tai turėtume atsiminti prieš paspausdami mygtuką Įdiegti.

Pažeidimas taip pat turėtų priminti šių programų kūrėjams, kad tvarkyti šimtų tūkstančių žmonių duomenis yra didžiulė atsakomybė. Paprastos netinkamos konfigūracijos klaidos, tokios kaip padaryta „PhotoSquared“, turėtų būti visiškai netoleruotinos.

February 18, 2020
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.