Ponad 9 milionów plików wyciekło z 9 różnych aplikacji randkowych

Dating Apps Data Leak

Aby udowodnić, jak niebezpieczne mogą być niezabezpieczone bazy danych, grupa naukowców niedawno wypełniła instalację Elasticsearch atrapami danych, celowo źle ją skonfigurowała i czekała, aby zobaczyć, ile czasu zajmie hakerom znalezienie i rozpoczęcie skrobania informacji. Pierwszy atak był obserwowany w ciągu ośmiu godzin od włączenia bazy danych, aw ciągu następnych dziesięciu dni dostęp do honeypot był uzyskiwany średnio osiemnaście razy dziennie. Te wyniki powinny być szczególnie niepokojące dla użytkowników kilku niszowych aplikacji randkowych, którzy, jak można się już domyślać, mieli część swoich danych przechowywanych w słabo zabezpieczonej bazie danych.

Co najmniej dziewięć aplikacji randkowych ujawniło wyraźne dane użytkownika w niezabezpieczonym segmencie S3

Jest to najnowsza z bardzo długiej serii odkryć dokonanych przez zespół badaczy VPNMentor pod przewodnictwem Noama Rotema i Ran Locara. 24 maja w ramach ogromnego projektu mapowania sieci zlokalizowali niezabezpieczony segment usługi Amazon Web Services S3. W sumie baza danych zawierała 20,4 miliona plików o wadze 845 GB.

Jedną z interesujących rzeczy w bazie danych było to, że ujawnione przez nią dane osobowe były ograniczone. Było jednak całkiem sporo plików multimedialnych i jesteśmy prawie pewni, że ich właściciele woleliby, aby pozostali prywatni. Było wiele zdjęć o charakterze jednoznacznie seksualnym z widocznymi twarzami, zrzuty ekranu rozmów na czacie, wiadomości głosowe, a także szczegóły transakcji finansowych.

Aby chronić prywatność narażonych użytkowników, naukowcy postanowili nie wnikać dokładnie w dane, co oznacza, że niemożliwe jest prawidłowe oszacowanie dokładnej liczby dotkniętych osób. Rotem i Locar stwierdzili jednak w swoim raporcie, że zaangażowane są w to setki tysięcy i prawdopodobnie miliony użytkowników.

Dane wyciekły z wielu aplikacji randkowych. Badanie przeprowadzone przez naukowców doprowadziło ich do firmy o nazwie „Cheng Du New Tech Zone”, która została wymieniona w sekcji kontaktów wielu aplikacji podłączeniowych w Google Play. Podobieństwa w projektowaniu stron internetowych aplikacji potwierdziły, że najprawdopodobniej są one rozwijane przez tę samą grupę osób. Oto lista:

  • GHunt
  • Randki opryszczki
  • SugarD
  • Casualx
  • BBW Randki
  • Xpal
  • Gay Daddy Bear
  • Cougary
  • 3somes

Eksperci są pewni, że te dziewięć aplikacji było zaangażowanych w naruszenie, ale uważają, że może to dotyczyć również użytkowników innych aplikacji tego samego programisty.

Konsekwencje wycieku mogą być przerażające

Dobra wiadomość jest taka, że dane nie są już online. Dwa dni po odkryciu nieszczelnego wiadra naukowcy skorzystali z formularza kontaktowego jednej z aplikacji, których dotyczy problem, i ku ich zaskoczeniu otrzymali odpowiedź niemal natychmiast. Zespół VPNMentor odpowiedział na prośbę o dodatkowe informacje, wysyłając adres URL jednej z baz danych. Pomimo faktu, że twórca postanowił nie komunikować się dalej z badaczami, wszystkie dane zostały odłączone w trybie offline w ciągu 24 godzin. W chwili pisania tego tekstu niektóre aplikacje również zostały usunięte z Google Play.

To wszystko dobrze i dobrze, ale nie trzeba dodawać, że deweloper nie powinien był popełnić błędu. Jak widać, nie mówimy o twoich typowych konkurentach Tinder. Aplikacje są skierowane do osób o określonych preferencjach seksualnych i fetyszach, które mogą zostać napiętnowane. Ci, którzy ich używają, prawdopodobnie nie chcą ogłosić tego publicznie i na pewno nie chcieliby ujawniać zdjęć i rozmów, które ze sobą dzielą. Jeśli dane dostaną się w niepowołane ręce, przestępcy mogą wyciec zdjęcia, dokazować dotkniętych nimi osób lub wymusić je. Miejsca pracy mogą zostać utracone, rodziny mogą zostać zniszczone, a reputacja zniszczona.

Utrzymywanie aplikacji randkowych zawsze wiąże się z wyższym poziomem odpowiedzialności. Ludzie czasami ufają tym produktom z ich najbardziej intymnymi tajemnicami, i możemy śmiało powiedzieć, że w przypadku aplikacji randkowych Cheng Du New Tech Zone ich zaufanie zostało utracone. Jedyne, co mogą teraz zrobić, to mieć nadzieję, że pomimo ustaleń zawartych w artykule badawczym, o którym mówiliśmy w pierwszym akapicie, nikt inny niż eksperci VPNMentor nie widział wyraźnych danych.

June 16, 2020
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.