De waarde van tien jaar privégegevens van gebruikers is blootgelegd door Rallyhood

Toen Zack Whittaker van TechCrunch in contact kwam met Rallyhood om te praten over een verkeerd geconfigureerde S3-bucket met heel veel gebruikersgegevens, werd hem aanvankelijk verteld dat de lekkende database alleen voor testdoeleinden werd gebruikt en dat de werkelijke informatie van mensen werd bewaard in een goed beveiligde emmer. ' Later leverde Chris Alderson, Chief Technology Officer van Rallyhood, een andere versie van de evenementen. Hij gaf toe dat tijdens een migratieproject 'vergunningen per ongeluk' voor een korte periode 'op een van de opslagemmers van het bedrijf werden opengelaten. Op het moment van schrijven is dit het enige stukje informatie dat Rallyhood met de rest van de wereld heeft gedeeld over het incident, en het moet gezegd worden dat dit nauwelijks ideaal is gezien de hoeveelheid en aard van de gelekte gegevens.

Een andere dag, een andere lekkende S3-bucket onthult de bestanden van miljoenen gebruikers

Het lek werd ontdekt door een beveiligingsonderzoeker die liever bekend staat aan zijn Twitter-handvat, Timeless. Timeless besloot de invloed van TechCrunch te gebruiken om ervoor te zorgen dat de gegevens zo snel mogelijk worden beveiligd, wat, in het licht van Rallyhood's activiteiten en enorme gebruikersbasis, inderdaad de meest urgente taak was.

De populariteit van de website kreeg een enorme boost toen Yahoo aankondigde dat het op het punt staat Yahoo Groups bij te werken, en hordes mensen verhuisden hun discussies naar Rallyhood. We moeten er echter op wijzen dat Rallyhood veel meer is dan alleen een berichtenbord. Het is ook een samenwerkingsplatform dat wordt gebruikt door organisaties in alle soorten en maten met als doel het organiseren en volgen van taken en evenementen. Dit betekent dat Rallyhood veel gegevens moet verwerken en opslaan.

Het bedrijf zal niet zeggen hoeveel actieve gebruikers het platform heeft, en een schatting maken van het exacte aantal mensen dat door het lek wordt getroffen, is momenteel niet echt mogelijk. Wat we wel weten, is dat de S3-emmer maar liefst 4.1 TB aan gegevens bevatte en dat hij dankzij een maar al te veel voorkomende configuratiefout publiekelijk toegankelijk was zonder wachtwoord. Volgens Zack Whittaker was de URL ook "gemakkelijk te raden", waardoor de mogelijkheid dat iemand de informatie in handen kreeg, nog reëler werd.

Sommige van de blootgestelde gegevens zijn extreem gevoelig

Whittaker heeft enkele bestanden bekeken en contactgegevens gevonden waarmee hij contact kon opnemen met de getroffen gebruikers en de authenticiteit van het lek kon verifiëren. Helaas bevatte de bucket naast telefoons en e-mailadressen veel meer informatie.

De verslaggever van TechCrunch vond van alles, van contracten en toestemmingsbonnen tot geheimhoudingsovereenkomsten en lijsten met gedeelde wachtwoorden die absoluut niet voor iedereen toegankelijk waren. Zoals we al vermeldden, probeerde de CTO van Rallyhood wat schadebeperking te doen door TechCrunch te vertellen dat de blootstelling niet lang duurde, maar hij wilde liever niet zeggen hoe "kort" de "korte periode" was. Wat we zeker weten, is dat sommige bestanden in de gelekte database een tijdstempel voor 2011 hadden. Helaas weigerde Rallyhood, ondanks het feit dat er bijna tien jaar aan privébestanden in de verkeerd geconfigureerde database aanwezig was, TechCrunch te vertellen of het bedrijf plannen heeft om de mogelijk getroffen personen hierover te informeren.

Al met al heeft Rallyhood een duidelijk gebrek aan transparantie aangetoond bij de behandeling van wat ongetwijfeld een vrij ernstig datalek is. Het bedrijf heeft duidelijk een fout gemaakt, wat nauwelijks een goede zaak is, maar de echt slechte indruk komt van het feit dat het doet alsof het niet bereid is de verantwoordelijkheid te aanvaarden.