Datingapper klarer ikke å beskytte kundene sine igjen: 6 apper lekker mange millioner poster
Noe av det vi elsker med internett mest er det faktum at vi kan finne så mye informasjon om det. Noe merkelig er at en av tingene vi hater med internett mest, også er at vi kan finne så mye informasjon om det. Sikkerhetsforskere fra WizCase oppdaget for eksempel nylig at hvis de visste hvor de skulle lete, kunne brukere av seks dating-apper finne personopplysningene sine eksponert i databaser som ikke var beskyttet med passord og var tilgjengelige hvor som helst i verden.
Table of Contents
Fem dårlig sikrede databaser lekker millioner av poster fulle med personlig informasjon
Ekspertene oppdaget tre ElasticSearch-installasjoner, en Amazon S3 Bucket, og en MongoDB-database eksponert for internett og tilgjengelig uten noen form for autentisering. To av leverandørene er USA-baserte, to er lokalisert i Sør-Korea, og en opererer i Japan, og de driver alle datingsider og applikasjoner. Her er navnene på tjenestene og dataene de lekket:
- CatholicSingles.com
- SPYKX.com
- Tiki
- Utydelig
- Charin og Kyuun
S3-bøtta veide inn på bare 17MB og hadde noen beskjedne 50 tusen rekorder. De fleste av profilene ser ut til å være utestengt, men den siste registrerte aktiviteten er nylig, noe som viser at de lekkede dataene mest sannsynlig er gyldige. Det inkluderer ting som navn, e-postadresser, telefonnumre, alder, kjønn, yrke, faktureringsadresser, betalingsmetoder, etc.
SPYKX.com er en sørkoreansk leverandør som utvikler og driver flere forskjellige tjenester. En av dem er en dateringsapplikasjon kalt Condaq / Kongdak, og av en eller annen grunn har utvikleren bestemt at det vil være en god ide å legge noen av appens brukerdata på en ubeskyttet ElasticSearch-server. Omtrent 123 tusen poster eksponerte 600 MB verdi av personlige detaljer, inkludert e-postadresser, vanlig tekstpassord, fødselsdato og til og med GPS-data.
Tiki er angivelig "en ny type dating-app", og ifølge nettstedet har brukeren kontroll over typen personlig informasjon potensielle datoer får se. Denne påstanden er spesielt ironisk gitt det faktum at Tikis utvikler la noe av nevnte informasjon i en MongoDB-database som var tilgjengelig med en enkel nettleser. Litt over 4 000 poster ble eksponert, og de inkluderte alt fra brukervurderinger og aktivitetslogger til navn, telefonnumre, datoplasser osv.
Blurry er et sørkoreansk datingsapplikasjon som lar brukere uskarpe skjermen under videosamtaler. Det er visstnok rettet mot brukere som er for sjenerte til å samhandle eller ikke er veldig sikre på utseendet sitt, og du kan bare forestille deg hvordan disse menneskene vil føle seg når de får vite at noen av deres private samtaler ble utsatt av en dårlig konfigurert ElasticSearch-server. De 70 tusen postene inneholdt ingen personlige detaljer, men de lekkede meldingene var fulle av WhatsApp-nummer, Instagram-håndtak og annen informasjon som kunne utsette offeret for alle slags angrep.
Enda en feilkonfigurert ElasticSearch-database tilhører utviklerne av Charin og Kyuun - to japanske apper som ser ut til å bli drevet av samme selskap. Det var den desidert største lekkasjen, med 57 GB eksponerte data og litt over 100 millioner poster åpne for publikum. Bekymringsfullt, i tillegg til bruker-ID-er, informasjon om mobilenheter og søkeinnstillinger, inneholdt databasen e-postadresser og passord i ren tekst.
Det var allerede en ganske betydelig lekkasje, men WizCases etterforskning stoppet ikke der.
Ekspertene kunne ikke identifisere eierne av ytterligere seks ubeskyttede databaser
Forskerne oppdaget seks flere usikrede databaser fulle av data. Nok en gang ble brukerne av datingtjenester berørt, men denne gangen så det ut til at utviklerne ikke var ansvarlige for lekkasjen.
Ekspertene klarte å knytte dataene til flere apper - Zhenai, Say Love, Netease, Love Chat og Companion. De sa imidlertid at databasene ikke inneholdt noen personlig identifiserbar informasjon og sannsynligvis var et resultat av skraping på nettet. De har også at nettkriminelle kan bruke informasjonen i dem til å identifisere andre offentlig tilgjengelige profiler og potensielt få tilgang til mer sensitive data.
Hva trenger brukere å passe på?
Det er aldri morsomt å se datingsapper som lekker brukerdata. Selv om tjenestene vi snakker om i dag, ikke er like nisje som de vi diskuterte for noen uker siden, kan det hende at de berørte individene ikke nødvendigvis er opptatt av at hele verden vet at de bruker dem.
Siden så mange apper er involvert, har vi dessverre ingen måte å vite hvor mange som blir berørt av lekkasjene. Det vi imidlertid vet er at hvis du har brukt noen av tjenestene som er nevnt i denne artikkelen, må du være ganske mye mer forsiktig enn du vanligvis er. Dataene i noen av databasene kan gi nettkriminelle alt de trenger for å etterligne deg og stjele din online identitet. Dessuten kan de bruke den til å finne mer informasjon om deg og montere flere angrep.
Utpressing forsøk basert på det faktum at du bruker en dateringsapp er ikke uaktuelt i noen tilfeller, og de utsatte ren tekst-passordene vil nesten helt sikkert bli brukt i legitimasjonsstoppangrep.
