Dating-apps kunnen hun klanten niet opnieuw beschermen: 6 apps lekken miljoenen records

Six Dating Apps Leak Millions of Records

Een van de dingen die we het leukst vinden aan internet is het feit dat we er zoveel informatie over kunnen vinden. Vreemd genoeg is een van de dingen die we het meest haten aan internet, ook het feit dat we er zoveel informatie over kunnen vinden. Zo ontdekten beveiligingsonderzoekers van WizCase onlangs dat als ze wisten waar ze moesten zoeken, gebruikers van zes dating-apps hun persoonlijke gegevens konden vinden in databases die niet met een wachtwoord waren beveiligd en overal ter wereld toegankelijk waren.

Vijf slecht beveiligde databases lekken miljoenen records vol met persoonlijke informatie

De experts ontdekten drie ElasticSearch-installaties, een Amazon S3-bucket en een MongoDB-database die is blootgesteld aan internet en toegankelijk is zonder enige vorm van authenticatie. Twee van de leveranciers zijn gevestigd in de VS, twee zijn gevestigd in Zuid-Korea en één is actief in Japan, en ze beheren allemaal datingwebsites en -applicaties. Hier zijn de namen van de services en de gegevens die ze hebben gelekt:

  • CatholicSingles.com

    • De S3-emmer woog slechts 17 MB en had een enigszins bescheiden 50 duizend records. De meeste profielen lijken te zijn verbannen, maar de laatste geregistreerde activiteit is recent, wat aantoont dat de gelekte gegevens waarschijnlijk geldig zijn. Het omvat zaken als namen, e-mailadressen, telefoonnummers, leeftijd, geslacht, beroep, factuuradressen, betalingsmethoden, enz.

  • SPYKX.com

    • SPYKX.com is een Zuid-Koreaanse leverancier die verschillende services ontwikkelt en uitvoert. Een daarvan is een datingapplicatie genaamd Condaq / Kongdak, en om een of andere reden heeft de ontwikkelaar besloten dat het een goed idee zou zijn om een deel van de gebruikersgegevens van de app op een onbeschermde ElasticSearch-server te zetten. Ongeveer 123 duizend records onthulden 600 MB aan persoonlijke gegevens, waaronder e-mailadressen, wachtwoorden in platte tekst, geboortedata en zelfs GPS-gegevens.

  • Tiki

    • Tiki is naar verluidt 'een nieuw soort dating-app' en volgens zijn website heeft de gebruiker controle over het soort persoonlijke informatie dat potentiële datums te zien krijgen. Deze bewering is vooral ironisch gezien het feit dat de ontwikkelaar van Tiki sommige van de genoemde informatie in een MongoDB-database heeft geplaatst die toegankelijk was met een eenvoudige browser. Iets meer dan 4.000 records werden ontsloten en ze omvatten alles van gebruikersbeoordelingen en activiteitenlogboeken tot namen, telefoonnummers, datumlocaties, enz.

  • Wazig

    • Blurry is een Zuid-Koreaanse datingapp waarmee gebruikers het scherm kunnen vervagen tijdens videogesprekken. Het is vermoedelijk bedoeld voor gebruikers die te verlegen zijn om te communiceren of die niet erg zeker zijn van hun uiterlijk, en je kunt je alleen maar voorstellen hoe deze mensen zich zullen voelen als ze horen dat sommige van hun privégesprekken werden onthuld door een slecht geconfigureerde ElasticSearch-server. De 70 duizend records bevatten geen persoonlijke gegevens, maar de gelekte berichten stonden vol met WhatsApp-nummers, Instagram-handvatten en andere informatie die het slachtoffer aan allerlei soorten aanvallen zou kunnen blootstellen.

  • Charin en Kyuun

    • Nog een andere verkeerd geconfigureerde ElasticSearch-database is van de ontwikkelaars van Charin en Kyuun - twee Japanse apps die door hetzelfde bedrijf lijken te worden beheerd. Het was verreweg het grootste lek, met 57 GB aan blootgestelde gegevens en iets meer dan 100 miljoen records die open waren voor het publiek. Zorgwekkend genoeg bevatte de database naast gebruikers-ID's, informatie over mobiele apparaten en zoekvoorkeuren e-mailadressen en wachtwoorden in platte tekst.

Het was al een behoorlijk groot lek, maar het onderzoek van WizCase stopte daar niet.

De experts konden de eigenaren van nog eens zes onbeveiligde databases niet identificeren

De onderzoekers ontdekten nog zes onbeveiligde databases vol data. Opnieuw werden de gebruikers van datingservices getroffen, maar deze keer bleek dat de ontwikkelaars niet verantwoordelijk waren voor het lek.

De experts zijn erin geslaagd om de gegevens aan verschillende apps te koppelen - Zhenai, Say Love, Netease, Love Chat en Companion. Ze zeiden echter dat de databases geen persoonlijk identificeerbare informatie bevatten en hoogstwaarschijnlijk het resultaat waren van webscraping. Ze stellen ook dat cybercriminelen de informatie erin kunnen gebruiken om andere openbaar beschikbare profielen te identificeren en mogelijk toegang te krijgen tot gevoeliger gegevens.

Waar moeten gebruikers op letten?

Het is nooit leuk om te zien dat dating-apps gebruikersgegevens lekken. Hoewel de services waar we het vandaag over hebben niet zo niche zijn als degene die we een paar weken geleden bespraken, zijn de getroffen personen misschien niet per se enthousiast over de hele wereld, wetende dat ze ze gebruiken.

Omdat er zoveel apps bij betrokken zijn, kunnen we helaas niet weten hoeveel mensen door de lekken worden getroffen. Wat we echter wel weten, is dat als je een van de services die in dit artikel worden genoemd, hebt gebruikt, je veel voorzichtiger moet zijn dan je normaal bent. De gegevens in sommige databases kunnen cybercriminelen alles bieden wat ze nodig hebben om zich voor u uit te geven en uw online identiteit te stelen. Bovendien kunnen ze het gebruiken om meer informatie over u te vinden en aanvullende aanvallen uit te voeren.

Afpersingspogingen op basis van het feit dat u een dating-app gebruikt, zijn in sommige gevallen niet uitgesloten, en de blootgestelde wachtwoorden in leesbare tekst zullen vrijwel zeker worden gebruikt bij aanvulaanvallen .

Tegen Duran
July 7, 2020
News
Nederlands
July 7, 2020
News

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.