Dekada wartości prywatnych danych użytkowników została ujawniona przez Rallyhood

Kiedy Zack Whittaker z TechCrunch skontaktował się z Rallyhood, aby porozmawiać o źle skonfigurowanym segmencie S3, który ujawnił całkiem sporo danych użytkownika, początkowo powiedziano mu, że nieszczelna baza danych była używana wyłącznie do celów testowych i że rzeczywiste informacje ludzi były przechowywane „w wysoce zabezpieczone wiadro”. Później Chris Alderson, dyrektor ds. Technologii Rallyhood, przedstawił inną wersję wydarzeń. Przyznał, że podczas projektu migracji „uprawnienia zostały błędnie pozostawione otwarte” na jednym z wiader magazynowych firmy przez „krótki okres”. W chwili pisania tego tekstu jest to jedyna informacja, którą Rallyhood podzielił się z resztą świata na temat incydentu, i należy stwierdzić, że nie jest to idealne rozwiązanie, biorąc pod uwagę ilość i charakter wyciekających danych.

Kolejnego dnia kolejny wyciekający segment S3 odsłania pliki milionów użytkowników

Wyciek został wykryty przez badacza bezpieczeństwa, który woli być znany przez jego uchwyt na Twitterze, Timeless. Ponadczasowy postanowił wykorzystać wpływ TechCruncha, aby zapewnić jak najszybsze zabezpieczenie danych, co w świetle biznesu i ogromnej bazy użytkowników Rallyhood było rzeczywiście najpilniejszym zadaniem.

Popularność witryny znacznie wzrosła, gdy Yahoo ogłosiło, że zamierza zepchnąć Grupy Yahoo, a hordy ludzi przeniosły swoje dyskusje na Rallyhood. Należy jednak zauważyć, że Rallyhood to znacznie więcej niż tylko tablica wiadomości. Jest to również platforma współpracy, z której korzystają organizacje różnych kształtów i rozmiarów w celu organizowania i śledzenia zadań i wydarzeń. Oznacza to, że Rallyhood musi przetwarzać i przechowywać dużo danych.

Firma nie poda liczby aktywnych użytkowników platformy, a oszacowanie dokładnej liczby osób dotkniętych wyciekiem nie jest w tej chwili możliwe. Wiemy, że wiadro S3 zawierało 4,1 TB danych, a dzięki zbyt powszechnemu błędowi konfiguracji było publicznie dostępne bez hasła. Według Zacka Whittakera, adres URL również był „łatwy do odgadnięcia”, co sprawiło, że ktoś mógł uzyskać informacje jeszcze bardziej realne.

Niektóre z ujawnionych danych są wyjątkowo wrażliwe

Whittaker przejrzał niektóre pliki i znalazł dane kontaktowe, które pozwoliły mu skontaktować się z użytkownikami, których dotyczy problem, i zweryfikować autentyczność wycieku. Niestety, oprócz telefonów i adresów e-mail, wiadro zawierało znacznie więcej informacji.

Reporter TechCrunch znalazł wszystko, od umów i dokumentów poświadczających do umów o poufności i list wspólnych haseł, które zdecydowanie nie powinny być publicznie dostępne. Jak już wspomnieliśmy, CTO Rallyhood próbowało wprowadzić pewne ograniczenia szkód, mówiąc TechCrunchowi, że narażenie nie trwało długo, ale wolał nie mówić, jak „krótki” był „krótki okres”. Wiemy na pewno, że niektóre pliki w wyciekanej bazie danych miały znacznik czasu 2011. Niestety, pomimo faktu, że w źle skonfigurowanej bazie danych było prawie dziesięć lat prywatnych plików, Rallyhood odmówił poinformowania TechCruncha, czy firma planuje poinformować o tym potencjalnie dotknięte osoby.

Podsumowując, do tej pory Rallyhood wykazał wyraźny brak przejrzystości w postępowaniu z czymś, co jest niewątpliwie dość poważnym wyciekiem danych. Firma najwyraźniej popełniła błąd, co nie jest dobrą rzeczą, ale naprawdę złe wrażenie wynika z faktu, że działa tak, jakby nie była skłonna przyjąć odpowiedzialności.