Szokujący wyciek danych z aplikacji Key Ring odsłonił 14 milionów użytkowników

Jeśli nadal uważasz, że poważne wycieki danych nie są tak częste, mamy historię, która może wkrótce zmienić zdanie. W styczniu zespół naukowców pod kierownictwem Noama Rotema i Ran Locara znalazł źle skonfigurowane wiadro AWS S3, które ujawniało dużą ilość informacji. Niestety, w swoim artykule dla vpnMentor eksperci przyznali, że byli tak zajęci zgłaszaniem innych wycieków danych w tym czasie, że nie mogli od razu zbadać problemu i powiadomić osób odpowiedzialnych za ujawnienie. Dopiero miesiąc później w końcu zaczęli pracować nad tym szczególnym wyciekiem.

Dostawcy usług wciąż mają problemy z opanowaniem mechanizmów bezpieczeństwa oferowanych przez rozwiązania pamięci masowej w chmurze, a przecieki pojawiają się po lewej, po prawej i na środku. Eksperci nie są w stanie dotrzymać kroku i jak zwykle niczego nie podejrzewający użytkownik ponosi konsekwencje. W tym przypadku potencjalne konsekwencje były ogromne.

Aplikacja Key Ring udostępnia portfele cyfrowe użytkowników na cały świat

Pierwsze wiadro, które odkryli naukowcy, zawierało aż 44 miliony zdjęć. To dużo danych, ale naprawdę szokującą częścią jest natura ujawnionych informacji. Gdy znaleźli czas na zbadanie sprawy, naukowcy odkryli, że źle skonfigurowane wiadro S3 należało do Key Ring - aplikacji mobilnej, która daje między innymi możliwość digitalizacji większości zawartości portfela. Pozwala fotografować i przechowywać wirtualne kopie pomysłów, takich jak karty członkowskie i karty podarunkowe. Niektóre z 14 milionów osób korzystających z aplikacji przesłały również skany swoich kart kredytowych i dokumentów tożsamości. Robiąc to, prawdopodobnie myśleli, że ich dane będą bezpiecznie przechowywane. Mylili się.

Błędnie skonfigurowane wiadro S3 zawierało skany kart kredytowych, kart członkowskich i lojalnościowych, medycznych kart marihuany, praw jazdy i innych dokumentów identyfikacyjnych. Obrazy były przechowywane całkowicie w wyraźnej formie i były dostępne z dowolnego miejsca na świecie. Widać już, jak bardzo wyciek może wpłynąć na użytkowników. Niestety, to nie koniec.

Źle skonfigurowane wiadra S3 z Key Ring ujawniły mnóstwo danych osobowych

W tym samym segmencie badacze znaleźli niektóre pliki CSV, które zawierały dane osobowe (PII), które należą do milionów ludzi. Osoby te znajdowały się na listach członkowskich partnerów Key Ring, takich jak Walmart, a listy te zawierały mnóstwo danych osobowych, takich jak nazwiska, adresy, daty urodzenia itp.

Po nieco bardziej szperaniu zespół Noam Rotem i Ran Locar zlokalizował cztery kolejne źle skonfigurowane wiadra S3 związane z Breloczkiem. Zawierały stare migawki bazy danych aplikacji i ujawniały między innymi adresy e-mail i adresy domowe użytkowników, adresy IP, informacje o urządzeniach itp. W bazach danych znajdowały się również hasła, które według naukowców były „szyfrowane”. Niestety mechanizm ich szyfrowania pozostaje niejasny.

Nie wiadomo również, czy badaczom udało się znaleźć ujawnione dane. 18 lutego w końcu udało im się skontaktować z Key Ring i Amazonem, a dwa dni później wiadra zostały wycofane offline, ale w tym momencie nie wiemy, kiedy zostały postawione. Niestety, powinniśmy zauważyć, że chociaż informacje zostały zabezpieczone stosunkowo szybko, stosunek Key Ring do incydentu nie jest przykładny.

W przypadku wystąpienia takich wycieków użytkownicy oczekują indywidualnych powiadomień, które informują ich o tym, co się wydarzyło i na co należy uważać. Tymczasem opinia publiczna oczekuje oficjalnego ogłoszenia od dostawcy, które zawiera również szczegółowe informacje na temat incydentu i środków ostrożności podjętych w celu zapewnienia, że to się nie powtórzy. Z Key Ring nie widzieliśmy żadnej z tych rzeczy.

Ilość ujawnionych danych w połączeniu z brakiem oficjalnej odpowiedzi oznacza, że nie możemy zrobić nic więcej, niż założyć, że dotyczy to wszystkich 14 milionów użytkowników Key Ring. Jeśli jesteś jednym z nich, musisz być znacznie bardziej ostrożny niż zwykle, zwłaszcza jeśli przechowujesz w aplikacji jakieś poufne dane.