Et tiårs verdi av private brukerdata er blitt eksponert av Rallyhood

Da Zack Whittaker fra TechCrunch kom i kontakt med Rallyhood for å snakke om en feilkonfigurert S3-bøtte som eksponerte ganske mye brukerdata, ble han opprinnelig fortalt at den utette databasen bare ble brukt til testformål, og at folks faktiske informasjon ble holdt 'i en høyt sikret bøtte. Senere ga Chris Alderson, teknologisjef for Rallyhood, en annen versjon av hendelsene. Han innrømmet at under et migrasjonsprosjekt, ble "tillatelser feilaktig forlatt åpne" på en av selskapets lagringsbøtter i "en kort periode." I skrivende stund er dette den eneste opplysningen som Rallyhood har delt med resten av verden angående hendelsen, og det må sies at dette neppe er ideelt gitt mengden og arten av de lekkede dataene.

Nok en dag, utsetter en annen lekker S3-bøtte filene til millioner av brukere

Lekkasjen ble oppdaget av en sikkerhetsforsker som foretrekker å bli kjent av sitt Twitter-håndtak, Tidløs. Tidløs bestemte seg for å bruke TechCrunchs innflytelse for å sikre at dataene blir sikret så raskt som mulig, noe som, i lys av Rallyhoods virksomhet og enorme brukerbase, faktisk var den mest presserende oppgaven.

Nettstedets popularitet ble gitt et enormt løft da Yahoo kunngjorde at det var i ferd med å øke Yahoo Groups, og horder av mennesker flyttet diskusjonene sine til Rallyhood. Vi bør imidlertid påpeke at Rallyhood er mye mer enn bare et meldingstavle. Det er også en samarbeidsplattform som brukes av organisasjoner i alle former og størrelser med det formål å organisere og spore oppgaver og hendelser. Dette betyr at Rallyhood må behandle og lagre mye data.

Selskapet vil ikke si hvor mange aktive brukere plattformen har, og å estimere det nøyaktige antallet personer som er berørt av lekkasjen er egentlig ikke mulig for øyeblikket. Det vi vet er at S3-bøtten hadde en enorm 4,1 TB data, og at takket være en altfor vanlig konfigurasjonsfeil, var den offentlig tilgjengelig uten passord. I følge Zack Whittaker var URL-en også "lett antagelig", noe som gjorde muligheten for at noen fikk hendene på informasjonen enda mer ekte.

Noen av de utsatte dataene er ekstremt følsomme

Whittaker gjennomgikk noen av filene og fant kontaktinformasjon som gjorde at han kunne komme i kontakt med de berørte brukerne og bekrefte ektheten til lekkasjen. Dessverre, i tillegg til telefoner og e-postadresser, inneholdt bøtte mye mer informasjon.

TechCrunchs reporter fant alt fra kontrakter og tillatelseskort til ikke-avslørende avtaler og lister over delte passord som absolutt ikke skulle være offentlig tilgjengelige. Som vi allerede nevnte, prøvde Rallyhoods CTO å gjøre noen skadebegrensninger ved å fortelle TechCrunch at eksponeringen ikke varte lenge, men han foretrakk å ikke si hvor "kort" den "korte perioden" var. Det vi vet med sikkerhet, er at noen av filene i den lekkede databasen hadde en tidsstempel fra 2011. Til tross for at det nesten var et tiårs verdi av private filer i den feilkonfigurerte databasen, nektet Rallyhood å fortelle TechCrunch om selskapet har noen planer om å informere potensielt berørte personer om det.

Alt i alt har Rallyhood så langt demonstrert en tydelig mangel på åpenhet i håndteringen av det som utvilsomt er en ganske alvorlig datalekkasje. Selskapet gjorde tydelig en feil, noe som neppe er en god ting, men det virkelig dårlige inntrykket kommer av at det fungerer som om det ikke er villig til å akseptere ansvaret.