Mer enn 20 millioner filer har blitt lekket av 9 forskjellige datingsapper

Dating Apps Data Leak

For å bevise hvor farlige usikrede databaser kan være, fylte en gruppe forskere nylig en Elasticsearch-installasjon med dummy-data, bevisst feilkonfigurerte den og ventet på å se hvor lang tid det ville ta før hackerne fant det og begynte å skrape informasjonen. Det første angrepet ble sett i løpet av åtte timer etter at databasen kom på nettet, og i løpet av de neste ti dagene fikk man tilgang til honningpott i gjennomsnitt atten ganger per dag. Disse resultatene bør være spesielt urovekkende for brukerne av noen få nisje-datingsapper som, som du kanskje har gjettet allerede, hadde noen av dataene sine lagret i en dårlig sikret database.

Minst ni datingsapper utsatte eksplisitte brukerdata i en usikret S3-bøtte

Det er det siste på en veldig lang rekke funn gjort av VPNMentors team av forskere ledet av Noam Rotem og Ran Locar. Som en del av deres massive web kartleggingsprosjekt, de ligger et usikret Amazon Web Services S3 bøtte på 24. mai Totalt databasen inneholdt 20,4 millioner filer som veier inn på 845GB.

Noe av det interessante med databasen var at den personlig identifiserbare informasjonen den utsatte var begrenset. Det var imidlertid ganske mange mediefiler, og vi er ganske sikre på at eierne deres hadde ønsket at de skulle forbli private. Det var mange seksuelt eksplisitte bilder med ansikter som var synlige på dem, skjermbilder av chatsamtaler, talemeldinger, samt detaljer om økonomiske transaksjoner.

For å beskytte de utsatte brukernes personvern, bestemte forskerne seg for ikke å rote gjennom dataene grundig, noe som betyr at det er umulig å korrekt estimere det nøyaktige antallet berørte individer. Rotem og Locar sa imidlertid i rapporten at hundretusener og muligens millioner av brukere er involvert.

Dataene ble lekket av flere dateringsapplikasjoner. Forskernes undersøkelse førte dem til et selskap som heter "Cheng Du New Tech Zone", som ble oppført i kontaktseksjonen til flere tilknytningsapplikasjoner på Google Play. Likhetene i appenes nettsteddesign bekreftet at de mest sannsynlig er utviklet av den samme gruppen mennesker. Her er listen:

  • GHunt
  • Herpes Dating
  • SugarD
  • Casualx
  • BBW Dating
  • XPAL
  • Homofil pappa bjørn
  • Cougary
  • 3somes

Ekspertene er sikre på at disse ni applikasjonene var involvert i bruddet, men de regner med at brukere av andre apper av samme utvikler også kan bli berørt.

Konsekvensene av lekkasjen kan være forferdelige

Den gode nyheten er at dataene ikke lenger er online. To dager etter å ha oppdaget den lekke bøtta, brukte forskerne kontaktskjemaet til en av de berørte appene, og til deres overraskelse fikk de et svar nesten umiddelbart. VPNMentors team svarte på forespørselen om mer informasjon ved å sende URL til en av databasene. Til tross for at utvikleren bestemte seg for ikke å kommunisere videre med forskerne, ble alle dataene trukket offline innen 24 timer. Fra skrivende stund ser det ut til at noen av appene også er fjernet fra Google Play.

Dette er vel og bra, men unødvendig å si, utvikleren burde ikke ha gjort feilen i utgangspunktet. Som du ser, snakker vi ikke om dine typiske Tinder-konkurrenter. Appene er rettet mot personer med spesifikke seksuelle preferanser og fetisjer som kan bli stigmatisert. De som bruker dem vil sannsynligvis ikke kunngjøre det offentlig, og de vil absolutt ikke ønske å avsløre bildene og samtalene de deler med hverandre. Hvis dataene faller i gale hender, kan kriminelle lekke bildene, dox de berørte personer eller utpresse dem. Jobber kan gå tapt, familier kunne bli ødelagt og omdømme kunne bli ødelagt.

Vedlikehold av datingapper har alltid en høyere grad av ansvar. Folk stoler på disse produktene med sine mest intime hemmeligheter noen ganger, og vi kan trygt si at når det gjelder Cheng Du New Tech Zone's dateringsapplikasjoner, var tilliten deres feil plassert. Det eneste de kan gjøre nå er å håpe at til tross for funnene i forskningsoppgaven vi snakket om i første ledd, var det ingen andre enn VPNMentors eksperter som så de eksplisitte dataene.

June 16, 2020
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.