Duizenden gebruikers van PhotoSquared kampen met een datalek

PhotoSquared Data Breach

Zoals sommigen van jullie misschien al weten, leiden Noam Rotem en Ran Locar een team van onderzoekers bij VPN Mentor dat is belast met een grootschalig webmappingproject dat is ontworpen om slecht beschermde databases die gevoelige informatie lekken, bloot te leggen en te beveiligen. De afgelopen maanden hebben ze een aantal enorme datalekken gemeld en echt laten zien hoe vaak bedrijven niet genoeg doen om de gegevens van gebruikers te beschermen. Rotem en Locar hebben toegegeven dat om erachter te komen wie de informatie lekt vaak dagen van onderzoek en veel hard werk nodig zijn. Met hun meest recente ontdekking was dit echter niet het geval.

Tijdens een poortscansessie ontdekten het team van Rotem en Locar een AWS S3-bucket die publiek toegankelijk was en niet met een wachtwoord werd beveiligd. Het bevatte bijna 95 GB aan gegevens en de naam van de eigenaar was beschikbaar in de URL - PhotoSquared.

Wat is PhotoSquared?

U maakt een betere kans om de omvang van het lek te begrijpen als u weet wat PhotoSquared doet. Het wil een van de antwoorden van de 21ste eeuw zijn op de winkel van de fotoontwikkelaar. In plaats van naar een fysieke locatie te gaan en de gewenste foto's in gedrukte vorm handmatig over te dragen, gebruikt u gewoon de mobiele app om uw favoriete foto's uit uw camerarol of feeds van sociale media te kiezen. Een online betaling later, print PhotoSquared uw foto's op 8 "x 8" -borden en plaatst ze terug naar uw adres. Het klinkt erg handig, wat waarschijnlijk de reden is waarom meer dan 100 duizend mensen de app hebben gedownload van Google Play. Het bedrijfsmodel betekent echter wel dat iemand ergens de taak heeft om de persoonlijke gegevens en favoriete foto's van een groot aantal gebruikers te verwerken. Helaas heeft iemand het niet heel goed gedaan.

Een verkeerd geconfigureerde S3-bucket lekt de foto's en persoonlijke informatie van honderdduizenden gebruikers

De grootte van de database was een vrij goede weggever wat betreft de inhoud. Toen ze het openden, vonden Noam Rotem en Ran Locar ongeveer 1 miljoen records, waaronder:

  • Gebruikersfoto's voorbereid voor bewerking en afdrukken
  • Orderrecords en ontvangsten opgeslagen als PDF-documenten
  • Etiketten en verzendinformatie
  • Gebruikers namen
  • Thuis- en bezorgadressen

Het is moeilijk te zeggen hoeveel mensen door het lek worden getroffen, maar de onderzoekers wezen erop dat de informatie in de database tussen november 2016 en januari 2020 werd verzameld, wat een aanzienlijke tijdspanne is. Zoals de experts ook opmerkten, zijn de mogelijke gevolgen vrij eng.

Een combinatie van privéfoto's en persoonlijke informatie (inclusief thuisadressen) kan een potentiële inbreker een behoorlijk goed inzicht geven in het leven van zijn doelwit. Bovendien kunnen de gelekte details dienen als een startpunt voor extra verkenning en verdere criminele activiteiten.

Rotem en Locar ontdekten de onbeschermde bucket op 30 januari en namen op 4 februari contact op met de ontwikkelaar van de app. Het kostte PhotoSquared tien volledige dagen om de database te beveiligen, maar gelukkig is het nu offline. Er is geen bewijs dat iemand misbruik maakt van de blootgestelde gegevens, wat betekent dat we weinig meer kunnen doen dan hopen dat iedereen zijn lessen heeft geleerd.

Het incident is het volgende in een zeer lange reeks grimmige herinneringen dat hoewel apps zoals PhotoSquared ons een gezonde dosis gemak en nieuwigheid brengen, het gebruik ervan vaak betekent dat we ze moeten vertrouwen met heel veel uiterst gevoelige persoonlijke informatie. Dit is iets waar we waarschijnlijk rekening mee moeten houden voordat we op de knop Installeren klikken.

De inbreuk moet de ontwikkelaars van deze apps er ook aan herinneren dat het omgaan met de gegevens van honderdduizenden mensen een grote verantwoordelijkheid is. Eenvoudige verkeerde configuratiefouten zoals die welke PhotoSquared heeft gemaakt, moeten volledig ondraaglijk zijn.

February 18, 2020
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.