Aplikacje randkowe nie chronią swoich klientów ponownie: 6 aplikacji wyciekło z milionów rekordów
Jedną z rzeczy, które najbardziej lubimy w Internecie, jest fakt, że możemy znaleźć na nim tak wiele informacji. Co ciekawe, jedną z rzeczy, których najbardziej nienawidzimy w Internecie, jest fakt, że możemy znaleźć na nim tak wiele informacji. Na przykład badacze bezpieczeństwa z WizCase odkryli niedawno, że gdyby wiedzieli, gdzie szukać, użytkownicy sześciu aplikacji randkowych mogliby znaleźć swoje dane osobowe w bazach danych, które nie były chronione hasłem i były dostępne z dowolnego miejsca na świecie.
Table of Contents
Pięć słabo zabezpieczonych baz danych zawiera miliony rekordów pełnych danych osobowych
Eksperci odkryli trzy instalacje ElasticSearch, Amazon S3 Bucket i bazę danych MongoDB udostępnioną w Internecie i dostępną bez jakiejkolwiek formy uwierzytelnienia. Dwóch dostawców ma siedzibę w USA, dwóch znajduje się w Korei Południowej, a jeden działa w Japonii i wszyscy prowadzą witryny i aplikacje randkowe. Oto nazwy usług i dane, które wyciekły:
- CatholicSingles.com
- SPYKX.com
- Tiki
- Rozmazany
- Charin i Kyuun
Wiadro S3 ważyło zaledwie 17 MB i zawierało nieco skromne 50 tysięcy rekordów. Większość profili wygląda na zbanowanych, ale ostatnia zarejestrowana aktywność jest ostatnia, co pokazuje, że wyciek danych jest najprawdopodobniej prawidłowy. Obejmuje takie rzeczy, jak nazwiska, adresy e-mail, numery telefonów, wiek, płeć, zawód, adresy rozliczeniowe, metody płatności itp.
SPYKX.com to południowokoreański dostawca, który opracowuje i prowadzi kilka różnych usług. Jednym z nich jest aplikacja randkowa o nazwie Condaq / Kongdak iz jakiegoś powodu deweloper zdecydował, że dobrym pomysłem byłoby umieszczenie niektórych danych użytkownika aplikacji na niechronionym serwerze ElasticSearch. Około 123 tysięcy rekordów ujawniło dane osobowe o wartości 600 MB, w tym adresy e-mail, hasła w postaci zwykłego tekstu, daty urodzenia, a nawet dane GPS.
Tiki jest rzekomo „nowym rodzajem aplikacji randkowej” i zgodnie ze swoją witryną użytkownik ma kontrolę nad rodzajem danych osobowych, które zobaczą potencjalne daty. Twierdzenie to jest szczególnie ironiczne, biorąc pod uwagę fakt, że twórca Tiki umieścił niektóre z tych informacji w bazie danych MongoDB, która była dostępna za pomocą prostej przeglądarki. Udostępniono nieco ponad 4 tysiące zapisów, które obejmowały wszystko, od ocen użytkowników i dzienników aktywności po nazwiska, numery telefonów, miejsca spotkań itp.
Blurry to południowo-koreańska aplikacja randkowa, która umożliwia rozmycie ekranu podczas rozmów wideo. Podobno jest przeznaczony dla użytkowników, którzy są zbyt nieśmiali, aby wchodzić w interakcje lub nie są zbyt pewni swojego wyglądu, i możesz sobie tylko wyobrazić, jak się będą czuć, gdy dowiedzą się, że niektóre ich prywatne rozmowy zostały ujawnione przez źle skonfigurowany serwer ElasticSearch. 70 tysięcy rekordów nie zawierało żadnych danych osobowych, ale przeciekające wiadomości były pełne numerów WhatsApp, uchwytów na Instagramie i innych informacji, które mogłyby narazić ofiarę na wszelkiego rodzaju ataki.
Jeszcze inna źle skonfigurowana baza danych ElasticSearch należy do twórców Charin i Kyuun - dwóch japońskich aplikacji, które wydają się być obsługiwane przez tę samą firmę. Był to zdecydowanie największy wyciek, z 57 GB odsłoniętych danych i nieco ponad 100 milionów rekordów dostępnych publicznie. Co niepokojące, oprócz identyfikatorów użytkowników, informacji o urządzeniach mobilnych i preferencji wyszukiwania, baza danych zawierała adresy e-mail i hasła w postaci zwykłego tekstu.
To był już dość znaczny wyciek, ale dochodzenie WizCase się nie zakończyło.
Eksperci nie byli w stanie zidentyfikować właścicieli kolejnych sześciu niechronionych baz danych
Naukowcy odkryli jeszcze sześć niezabezpieczonych baz danych pełnych danych. Po raz kolejny dotyczyło to użytkowników serwisów randkowych, ale tym razem okazało się, że programiści nie byli odpowiedzialni za wyciek.
Eksperci zdołali połączyć dane z kilkoma aplikacjami - Zhenai, Say Love, Netease, Love Chat i Companion. Powiedzieli jednak, że bazy danych nie zawierają żadnych danych umożliwiających identyfikację użytkownika i najprawdopodobniej były wynikiem skrobania stron internetowych. Dają też do zrozumienia, że cyberprzestępcy mogą wykorzystać zawarte w nich informacje do identyfikacji innych publicznie dostępnych profili i potencjalnie uzyskać dostęp do bardziej wrażliwych danych.
Na co użytkownicy powinni uważać?
Nigdy nie jest fajnie widzieć, jak aplikacje randkowe przeciekają dane użytkownika. Chociaż usługi, o których dzisiaj mówimy, nie są tak niszowe, jak te, które omawialiśmy kilka tygodni temu, dotknięte nimi osoby niekoniecznie są zainteresowane całym światem, wiedząc, że z nich korzystają.
Niestety, ponieważ w grę wchodzi tak wiele aplikacji, nie wiemy, ile osób dotknęło wycieki. Wiemy jednak, że jeśli korzystałeś z którejkolwiek z usług wymienionych w tym artykule, musisz być o wiele bardziej ostrożny niż zwykle. Dane w niektórych bazach danych mogą zapewnić cyberprzestępcom wszystko, czego potrzebują, aby podszyć się pod Ciebie i ukraść Twoją tożsamość online. Co więcej, mogą go użyć, aby znaleźć więcej informacji o tobie i przeprowadzić dodatkowe ataki.
Próby szantażowania oparte na fakcie, że używasz aplikacji randkowej, nie są w niektórych przypadkach wykluczone, a ujawnione hasła w postaci zwykłego tekstu będą prawie na pewno wykorzystane w atakach polegających na wypełnianiu referencji.
