Er zijn meer dan 20 miljoen bestanden gelekt door 9 verschillende dating-apps
Om te bewijzen hoe gevaarlijk onbeveiligde databases zouden kunnen zijn, heeft een groep onderzoekers onlangs een Elasticsearch-installatie gevuld met dummy-gegevens, deze opzettelijk verkeerd geconfigureerd en afgewacht hoe lang het zou duren voordat de hackers deze zouden vinden en de informatie zouden gaan schrapen. De eerste aanval werd waargenomen binnen acht uur nadat de database online was gekomen en de volgende tien dagen was de honeypot gemiddeld achttien keer per dag toegankelijk. Deze resultaten zouden bijzonder verontrustend moeten zijn voor de gebruikers van een paar niche-dating-apps die, zoals je misschien al geraden had, een deel van hun gegevens hadden opgeslagen in een slecht beveiligde database.
Ten minste negen dating-apps hebben expliciete gebruikersgegevens in een onbeveiligde S3-bucket blootgelegd
Het is de laatste in een lange reeks ontdekkingen gedaan door het team van onderzoekers van VPNMentor onder leiding van Noam Rotem en Ran Locar. Als onderdeel van hun enorme web mapping project, dat ze zich een onbeveiligde Amazon Web Services S3 emmer op mei 24. In totaal heeft de databank bevatte 20,4 miljoen bestanden met een gewicht van 845GB.
Een van de interessante dingen van de database was dat de persoonlijk identificeerbare informatie die deze opleverde beperkt was. Er waren echter nogal wat mediabestanden en we zijn er vrij zeker van dat hun eigenaren hadden gewild dat ze privé bleven. Er waren veel seksueel expliciete foto's met gezichten zichtbaar, screenshots van chatgesprekken, spraakberichten en details van financiële transacties.
Om de privacy van de blootgestelde gebruikers te beschermen, besloten de onderzoekers de gegevens niet grondig door te nemen, wat betekent dat het onmogelijk is om het exacte aantal getroffen personen correct in te schatten. Rotem en Locar zeiden in hun rapport wel dat honderdduizenden en mogelijk miljoenen gebruikers erbij betrokken zijn.
De gegevens zijn uitgelekt door meerdere datingapplicaties. Het onderzoek van de onderzoekers leidde hen naar een bedrijf genaamd "Cheng Du New Tech Zone", dat werd vermeld in het contactgedeelte van meerdere aansluitapplicaties op Google Play. De overeenkomsten in het websiteontwerp van de apps bevestigden dat ze hoogstwaarschijnlijk door dezelfde groep mensen zijn ontwikkeld. Hier is de lijst:
- GHunt
- Herpes Dating
- SugarD
- Casualx
- BBW Dating
- Xpal
- Gay papa beer
- Cougary
- 3somes
De experts zijn er zeker van dat deze negen applicaties bij de inbreuk betrokken waren, maar ze denken dat ook gebruikers van andere apps van dezelfde ontwikkelaar mogelijk worden getroffen.
De gevolgen van het lek kunnen vreselijk zijn
Het goede nieuws is dat de gegevens niet langer online staan. Twee dagen nadat ze de lekkende emmer hadden ontdekt, gebruikten de onderzoekers het contactformulier van een van de getroffen apps en tot hun verbazing kregen ze vrijwel onmiddellijk antwoord. Het team van VPNMentor reageerde op het verzoek om meer informatie door de URL van een van de databases te sturen. Ondanks het feit dat de ontwikkelaar besloot niet verder te communiceren met de onderzoekers, werden alle gegevens binnen 24 uur offline gehaald. Op het moment van schrijven lijken sommige apps ook van Google Play te zijn verwijderd.
Dit is allemaal goed en wel, maar het is onnodig om te zeggen dat de ontwikkelaar in de eerste plaats de fout niet had mogen maken. Zoals je kunt zien, hebben we het niet over je typische Tinder-concurrenten. De apps zijn bedoeld voor mensen met specifieke seksuele voorkeuren en fetisjen die kunnen worden gestigmatiseerd. Degenen die ze gebruiken, willen het waarschijnlijk niet publiekelijk aankondigen en ze willen zeker niet de foto's en gesprekken die ze met elkaar delen, blootgeven. Als de gegevens in verkeerde handen vallen, kunnen criminelen de afbeeldingen lekken, de getroffen personen doxen of afpersen. Banen kunnen verloren gaan, gezinnen kunnen worden verbroken en reputaties kunnen worden verpest.
Het onderhouden van dating-apps heeft altijd een hogere mate van verantwoordelijkheid. Mensen vertrouwen deze producten soms met hun meest intieme geheimen, en we kunnen gerust zeggen dat in het geval van de datingtoepassingen van Cheng Du New Tech Zone hun vertrouwen misplaatst was. Het enige wat ze nu kunnen doen, is hopen dat, ondanks de bevindingen in het onderzoeksrapport waarover we in de eerste alinea spraken, niemand anders dan de experts van VPNMentor de expliciete gegevens heeft gezien.