Tysiące użytkowników PhotoSquared stają w obliczu naruszenia bezpieczeństwa danych

Jak niektórzy z was mogą już wiedzieć, Noam Rotem i Ran Locar kierują zespołem naukowców z VPN Mentor, którego zadaniem jest projekt mapowania sieci na dużą skalę, mający na celu wykrycie i zabezpieczenie słabo chronionych baz danych, które wyciekają wrażliwe informacje. W ciągu ostatnich kilku miesięcy zgłosili szereg masowych naruszeń danych i naprawdę pokazali, jak często firmy nie robią wystarczająco dużo, aby chronić dane użytkowników. Rotem i Locar przyznają, że ustalenie, kto wyciekł z informacji, często wymaga wielu dni badań i dużo ciężkiej pracy. Jednak po ich ostatnim odkryciu tak nie było.

Podczas sesji skanowania portów zespół Rotem i Locar odkrył wiadro AWS S3, które było publicznie dostępne i nie chronione hasłem. Miał prawie 95 GB danych, a nazwa jego właściciela była dostępna w adresie URL - PhotoSquared.

Co to jest PhotoSquared?

Większa szansa na zrozumienie zakresu wycieku, jeśli wiesz, co robi PhotoSquared. Chce być jedną z odpowiedzi XXI wieku dla sklepu dla twórców zdjęć. Zamiast przechodzić do fizycznej lokalizacji i ręcznie przekazywać zdjęcia w formie drukowanej, wystarczy użyć aplikacji mobilnej, aby wybrać swoje ulubione zdjęcia z rolki z aparatu lub kanałów społecznościowych. Płatność online później PhotoSquared drukuje zdjęcia na tablicach 8 x 8 cali i wysyła je z powrotem na twój adres. Brzmi bardzo wygodnie, prawdopodobnie dlatego ponad 100 tysięcy osób pobrało aplikację z Google Play. Model biznesowy oznacza jednak, że gdzieś ktoś ma zadanie obsługi danych osobowych i ulubionych zdjęć dużej liczby użytkowników. Niestety, ktoś nie wykonał bardzo dobrej roboty.

Błędnie skonfigurowane wiadro S3 przecieka zdjęcia i dane osobowe setek tysięcy użytkowników

Rozmiar bazy danych był całkiem niezłą grą pod względem zawartości. Kiedy go otworzyli, Noam Rotem i Ran Locar znaleźli około 1 miliona rekordów, w tym:

• Zdjęcia użytkowników przygotowane do edycji i drukowania
• Zamów rekordy i rachunki zapisane jako dokumenty PDF
• Etykiety i informacje o wysyłce
• Nazwy użytkowników
• Adres domowy i dostawy

Trudno powiedzieć, ile osób ucierpiało, ale naukowcy wskazali, że informacje w bazie danych zostały zebrane między listopadem 2016 r. A styczniem 2020 r., Co jest znacznym okresem. Jak zauważyli również eksperci, potencjalne konsekwencje są dość przerażające.

Połączenie prywatnych zdjęć i danych osobowych (w tym adresów domowych) może dać potencjalnemu włamywaczowi całkiem niezły wgląd w życie ich celu. Oprócz tego wyciekające szczegóły mogą stanowić punkt wyjścia do rozpoznania i dalszej działalności przestępczej.

Rotem i Locar odkryli niezabezpieczone wiadro 30 stycznia i skontaktowali się z deweloperem aplikacji 4 lutego. Zabezpieczenie bazy danych zajęło PhotoSquared dziesięć pełnych dni, ale na szczęście teraz jest offline. Nie ma dowodów na to, że ktoś nadużywa ujawnionych danych, co oznacza, że możemy zrobić niewiele więcej niż mieć nadzieję, że wszyscy wyciągnęli wnioski.

Incydent ten jest kolejnym z bardzo długiej serii ponurych przypomnień, że chociaż aplikacje takie jak PhotoSquared wnoszą do naszego życia zdrową dawkę wygody i nowości, korzystanie z nich często oznacza ufanie im dość dużą ilością bardzo poufnych danych osobowych. Jest to coś, o czym powinniśmy pamiętać, zanim klikniemy przycisk Instaluj.

Naruszenie powinno również przypominać twórcom tych aplikacji, że obsługa danych setek tysięcy osób jest ogromną odpowiedzialnością. Proste błędy w konfiguracji, takie jak ten, który zrobił PhotoSquared, powinny być całkowicie nie do zniesienia.