Onbeveiligde Dating Service-database lekt persoonlijke gegevens
Een andere blootgestelde database op een online server werd gehackt en lekte de persoonlijke gegevens van zijn gebruikers. De betreffende database behoorde toe aan een datingsite die op een Elastisearch-server draaide en was niet met een wachtwoord beveiligd. De ontdekking dat de database werd blootgesteld, werd eind augustus 2020 gedaan door beveiligingsonderzoekers met vpnMentor.
Nadat de beveiligingsonderzoekers contact hadden opgenomen met de database-eigenaren, werd deze snel verwijderd, maar dat betekent niet dat de database niet zeker lekte. Er waren in totaal meer dan 880 gigabyte aan logboekbestanden voor pushmeldingen opgeslagen in de defecte database . De logbestanden bleken de details te bevatten van 66 miljoen meldingen die de afgelopen vier dagen zijn gegenereerd, samen met de persoonlijke informatie van honderdduizenden gebruikers.
De datingservice-aggregator die de database beheert, heeft meldingen opgeslagen die afkomstig zijn van meer dan 70 verschillende datingsites. Veel van de meldingen bleken spam te zijn, met berichten die mannen aanboden partners te vinden uit delen van de wereld, zoals Azië of Oost-Europa. Door de manier waarop het systeem was opgezet, alarmeerden de nieuwe meldingen gebruikers dat een vermeende vrouw een bericht had gestuurd om mensen terug te lokken naar de dienst.
Persoonlijk identificeerbare gebruikersinformatie onthuld
Hoewel dit allemaal gebeurde met toestemming van de gebruikers, is het probleem dat er veel persoonlijke informatie bij betrokken was. De database bewaarde niet alleen de meldingen zelf, maar bevatte ook een deel dat was gemarkeerd als 'debug'-gegevens die persoonlijke gegevens van de gebruikers bevatten. De persoonlijk identificeerbare informatie in de logboeken omvatte namen, e-mails, geslacht, evenals gegevens over geolocatie en IP-adres.
Tot overmaat van ramp bevatten de strings in de meldingen ook koppelingen en authenticatiesleutels naar gebruikersprofielen, waardoor slechte actoren onbeperkte toegang tot profielen konden krijgen, zonder dat ze zelfs het gebruikerswachtwoord nodig hadden. Iedereen die mogelijk de onbeschermde database in handen kreeg, had toegang tot tonnen gebruikersinformatie, inclusief profielen en eerdere berichten die via de service zijn verzonden.
Het lekken van persoonlijke informatie, vooral in verband met datingwebsites en -services, kan tot enorme problemen leiden voor de betrokken personen, waaronder afpersings- en chantagepogingen.