Tusenvis av PhotoSquared brukere står overfor et datainnbrudd

Som noen av dere kanskje vet nå, leder Noam Rotem og Ran Locar et team av forskere ved VPN Mentor som har til oppgave et storskala nettkartleggingsprosjekt designet for å avdekke og sikre dårlig beskyttede databaser som lekker sensitiv informasjon. I løpet av de siste månedene har de rapportert om en rekke enorme datainnbrudd og har virkelig vist hvor ofte selskaper ikke gjør nok for å beskytte brukernes data. Rotem og Locar har innrømmet at det å finne ut hvem som lekker informasjonen ofte krever dagers etterforskning og mye hardt arbeid. Med deres siste oppdagelse var dette imidlertid ikke tilfelle.

Under en portskanningsøkt oppdaget teamet til Rotem og Locar en AWS S3-bøtte som var offentlig tilgjengelig og ikke beskyttet med et passord. Det inneholdt i underkant av 95 GB data, og navnet til eieren var tilgjengelig i URL-en - PhotoSquared.

Hva er PhotoSquared?

Du har en bedre sjanse til å forstå omfanget av lekkasjen hvis du vet hva PhotoSquared gjør. Det ønsker å være et av det 21. århundrets svar på fotoutviklerens butikk. I stedet for å gå inn på et fysisk sted og manuelt overlevere bildene du ønsker i utskrevet form, bruker du ganske enkelt mobilappen til å velge favorittbildene dine fra kamerarullen eller sosiale mediemater. En online betaling senere, PhotoSquared skriver ut bildene dine på 8 "x 8" tavler og legger dem tilbake til adressen din. Det høres veldig praktisk ut, og det er sannsynligvis derfor mer enn 100 tusen mennesker har lastet ned appen fra Google Play. Forretningsmodellen betyr imidlertid at noen, et sted, har til oppgave å håndtere personopplysningene og favorittbildene til et stort antall brukere. Dessverre at noen ikke gjorde en veldig god jobb.

En feilkonfigurert S3-bøtte lekker bilder og personlig informasjon fra hundretusenvis av brukere

Størrelsen på databasen var en ganske god gave til hva den inneholdt. Da de åpnet den, fant Noam Rotem og Ran Locar rundt 1 million plater som inkluderer:

• Brukernes bilder forberedt for redigering og utskrift
• Bestill poster og kvitteringer lagret som PDF-dokumenter
• Etiketter og fraktinformasjon
• Brukernes navn
• Hjem og leveringsadresser

Det er vanskelig å si hvor mange som er berørt av lekkasjen, men forskerne påpekte at informasjonen i databasen ble samlet inn mellom november 2016 og januar 2020, noe som er et betydelig tidsrom. Som ekspertene også bemerket, er de potensielle konsekvensene ganske skumle.

En kombinasjon av private bilder og personlig informasjon (inkludert hjemmeadresser) kan gi en potensiell innbruddstyv en ganske god innsikt i livets mål. I tillegg til dette kan de lekkede detaljene fungere som et utgangspunkt for ytterligere rekognosering og videre kriminell aktivitet.

Rotem og Locar oppdaget den ubeskyttede bøtta 30. januar og nådde appens utvikler 4. februar. Det tok PhotoSquared ti hele dager å sikre databasen, men heldigvis er den nå offline. Det er ingen bevis for at noen misbruker de utsatte dataene, noe som betyr at vi kan gjøre noe mer enn å håpe at alle har lært leksjonene sine.

Hendelsen er den neste i en veldig lang rekke dystre påminnelser om at selv om apper som PhotoSquared gir en sunn dose bekvemmelighet og nyhet i livene våre, betyr bruk av dem ofte å stole på dem med ganske mye ekstremt følsom personlig informasjon. Dette er noe vi sannsynligvis bør huske på før vi trykker på Install-knappen.

Bruddet skal også minne utviklerne av disse appene om at håndtering av data fra hundretusener av mennesker er et enormt ansvar. Enkle feilkonfigurasjonsfeil som den PhotoSquared har gjort, bør være helt utålelig.