Een schokkend app-datalek aan de sleutelhanger heeft 14 miljoen gebruikers blootgesteld

Key Ring Data Leak

Als u nog steeds denkt dat ernstige datalekken niet zo vaak voorkomen, hebben we een verhaal dat misschien op het punt staat van gedachten te veranderen. In januari vond een team van onderzoekers onder leiding van Noam Rotem en Ran Locar een slecht geconfigureerde AWS S3-bucket die een grote hoeveelheid informatie blootlegde. Helaas gaven de experts in hun artikel voor vpnMentor toe dat ze het destijds zo druk hadden met het melden van andere datalekken dat ze het probleem niet onmiddellijk konden onderzoeken en de mensen die verantwoordelijk waren voor de blootstelling hiervan op de hoogte konden stellen. Pas ongeveer een maand later begonnen ze eindelijk aan dit specifieke lek te werken.

Serviceproviders worstelen nog steeds om grip te krijgen op de beveiligingsmechanismen van cloudopslagoplossingen en lekken verschijnen links, rechts en in het midden. De experts kunnen het niet bijbenen, en zoals altijd blijft de nietsvermoedende gebruiker de consequenties dragen. In dit geval waren de mogelijke gevolgen enorm.

De Key Ring-app toont de digitale portemonnee van gebruikers aan de hele wereld

De eerste emmer die de onderzoekers vonden, bevatte maar liefst 44 miljoen afbeeldingen. Het zijn veel gegevens, maar het echt schokkende deel is de aard van de blootgestelde informatie. Toen ze eenmaal de tijd hadden gevonden om te onderzoeken, kwamen de onderzoekers erachter dat de verkeerd geconfigureerde S3-emmer toebehoorde aan Key Ring - een mobiele applicatie waarmee je onder andere de meeste inhoud van je portemonnee kunt digitaliseren. Hiermee kunt u virtuele kopieën van gedachten zoals lidmaatschapskaarten en cadeaubonnen fotograferen en opslaan. Sommige van de 14 miljoen mensen die de app gebruiken, hebben ook scans van hun creditcards en persoonlijke ID-documenten geüpload. Terwijl ze het deden, dachten ze waarschijnlijk dat hun gegevens veilig zouden worden opgeslagen. Ze hadden het mis.

De verkeerd geconfigureerde S3-bucket bevatte scans van creditcards, lidmaatschaps- en loyaliteitskaarten, medicinale-cannabiskaarten, rijbewijzen en andere identificatiedocumenten. De beelden werden volledig in het zicht opgeslagen en waren overal ter wereld toegankelijk. U kunt al zien hoe ernstig het lek gebruikers kan treffen. Dat was helaas niet het einde.

De verkeerd geconfigureerde S3-emmers van Key Ring lekten tonnen persoonlijke informatie

In dezelfde emmer vonden de onderzoekers enkele CSV-bestanden met persoonlijk identificeerbare informatie (PII) van miljoenen mensen. Deze mensen stonden op de lidmaatschapslijsten van sleutelringpartners zoals Walmart en de lijsten bevatten een groot aantal persoonlijke gegevens zoals namen, adressen, geboortedata, enz.

Na wat meer gerommel, vonden het team van Noam Rotem en Ran Locar nog vier verkeerd geconfigureerde S3-emmers die aan de sleutelhanger waren gekoppeld. Ze bevatten oude snapshots van de database van de app en onthulden onder andere de e-mail- en thuisadressen van gebruikers, IP's, apparaatinformatie, enz. De databases bevatten ook wachtwoorden, die volgens de onderzoekers "versleuteld" waren. Helaas blijft het mechanisme om ze te versleutelen onduidelijk.

Het is ook onbekend of de onderzoekers de enigen waren die de blootgestelde gegevens konden vinden. Op 18 februari slaagden ze er eindelijk in om contact op te nemen met Key Ring en Amazon, en twee dagen later werden de emmers offline gehaald, maar op dit moment weten we niet wanneer ze in de eerste plaats zijn geplaatst. Helaas moeten we erop wijzen dat hoewel de informatie relatief snel werd beveiligd, de houding van Key Ring ten opzichte van het incident nauwelijks voorbeeldig is.

Wanneer dergelijke lekken zich voordoen, verwachten gebruikers individuele meldingen te ontvangen die hen vertellen wat er is gebeurd en waar ze op moeten letten. Ondertussen verwacht het grote publiek een officiële aankondiging van de verkoper, die ook details geeft over het incident en over de genomen voorzorgsmaatregelen om te voorkomen dat het opnieuw gebeurt. Met Key Ring hebben we geen van deze dingen gezien.

Het volume van de blootgestelde gegevens, in combinatie met het ontbreken van een officiële reactie, betekent dat we niets anders kunnen doen dan aannemen dat alle 14 miljoen sleutelringgebruikers zijn getroffen. Als jij een van hen bent, moet je veel voorzichtiger zijn dan je normaal bent, vooral als je gevoelige gegevens hebt opgeslagen met de app.

Tegen Duran
April 7, 2020
News
Nederlands
April 7, 2020
News

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.