En sjokkerende nøkkelring App-datalekkasje har utsatt 14 millioner brukere

Hvis du fremdeles tror at alvorlige datalekkasjer ikke er så vanlige, har vi en historie som bare er i ferd med å ombestemme deg. I januar fant et team av forskere ledet av Noam Rotem og Ran Locar en dårlig konfigurert AWS S3-bøtte som avslørte en stor mengde informasjon. Dessverre, i sin artikkel for vpnMentor, innrømmet ekspertene at de var så opptatt med å rapportere andre datalekkasjer den gangen, at de ikke umiddelbart kunne undersøke problemet og varsle personene som var ansvarlige for eksponeringen. Det var først omtrent en måned senere at de endelig kom seg rundt for å jobbe med akkurat denne lekkasjen.

Tjenesteytere sliter fortsatt med å få tak i sikkerhetsmekanismene som tilbys av skylagringsløsninger, og lekkasjer vises til venstre, høyre og sentrum. Ekspertene klarer ikke å følge med, og som alltid får den intetanende brukeren bære konsekvensene. I dette tilfellet var de potensielle konsekvensene enorme.

Key Ring-appen utsetter brukernes digitale lommebøker for hele verden

Den første bøtta forskerne fant inneholdt hele 44 millioner bilder. Det er mye data, men den virkelig sjokkerende delen er arten av den utsatte informasjonen. Når de fant tid til å undersøke, fant forskerne ut at den feilkonfigurerte S3-bøtta tilhørte Key Ring - en mobilapplikasjon som blant annet gir deg muligheten til å digitalisere mest mulig av innholdet i lommeboka. Den lar deg fotografere og lagre virtuelle kopier av tanker som medlemskort og gavekort. Noen av de 14 millioner menneskene som bruker appen, har også lastet opp skanninger av kredittkort og personlige ID-dokumenter. Mens de gjorde det, trodde de sannsynligvis at dataene deres ville bli lagret sikkert. De tok feil.

Den feilkonfigurerte S3-bøtta inneholdt skanninger av kredittkort, medlemskaps- og lojalitetskort, medisinske cannabiskort, førerkort og andre identifikasjonsdokumenter. Bildene ble lagret helt klart, og de var tilgjengelige hvor som helst i verden. Du kan allerede se hvor dårlig lekkasjen kan påvirke brukere. Dessverre var det ikke slutten på det.

Key Rings feilkonfigurerte S3-bøtter lekket mange personopplysninger

I samme bøtte fant forskerne noen CSV-filer som inneholdt personlig identifiserbar informasjon (PII) som tilhører millioner av mennesker. Disse menneskene var på medlemslistene til Key Ring-partnere som Walmart, og listene inneholdt et mylder av personlige detaljer som navn, adresser, fødselsdato, etc.

Etter litt mer grubling, fant Noam Rotem og Ran Locars team fire mer feilkonfigurerte S3-bøtter tilknyttet Key Ring. De inneholdt gamle øyeblikksbilder av appens database og eksponerte blant annet brukernes e-post- og hjemmeadresser, IP-er, enhetsinformasjon osv. Databasene hadde også passord, som ifølge forskerne var "kryptert." Dessverre er mekanismen for kryptering av dem uklar.

Det er også ukjent om forskerne var de eneste som klarte å finne de utsatte dataene. 18. februar klarte de endelig å komme i kontakt med Key Ring og Amazon, og to dager senere ble bøttene trukket offline, men på dette tidspunktet vet vi ikke når de ble satt opp i utgangspunktet. Dessverre må vi påpeke at selv om informasjonen ble sikret relativt raskt, er Key Rings holdning til hendelsen neppe eksemplarisk.

Når lekkasjer som dette oppstår, forventer brukere å motta individuelle varsler som forteller dem hva som har skjedd og hva de trenger å passe på. I mellomtiden forventer allmennheten en offisiell kunngjøring fra leverandøren, som også gir detaljer om hendelsen og om forholdsregler som er tatt for å sikre at den ikke skjer igjen. Med nøkkelring har vi ikke sett noen av disse tingene.

Volumet av de eksponerte dataene, sammen med mangelen på noe offisielt svar, betyr at vi ikke kan gjøre annet enn å anta at alle de 14 millioner nøkkelringbrukere er berørt. Hvis du er en av dem, må du være mye mer forsiktig enn du normalt er, spesielt hvis du har lagret noen sensitive data med appen.