Mais de 42 Milhões de Registros de Usuários de Aplicativos de Namoro Expostos por um Banco de Dados Desprotegido
As pessoas pensam que é trabalho dos fornecedores e prestadores de serviços proteger os seus dados contra hackers. Se tivermos que ser especialmente pedantes e exigentes com a coisa toda, diríamos que essa reação não é completamente precisa.
"Proteger" os dados implicaria a eliminação de todas as formas possíveis de violá-los. Isso, como sabem as pessoas interessadas em segurança cibernética, simplesmente não é possível. Realisticamente, o que as pessoas responsáveis por nossos dados devem fazer é tornar o trabalho dos hackers o mais difícil possível. Algumas organizações são relativamente boas nisso.
Recentemente, por exemplo, os cibercriminosos conseguiram romper a segurança do serviço de agregador de notícias Flipboard e fugiram com um número ainda desconhecido de credenciais de login. No entanto, como a maioria das senhas foi criptografada com segurança, os criminosos não podem fazer nada com elas e, por segurança, o Flipboard solicitará a todos os seus usuários que redefinam suas senhas ao fazer login. É assim que os prestadores de serviços responsáveis faça.
No outro extremo da escala, você tem desenvolvedores que despejam as informações das pessoas em um servidor voltado para a Internet que não está protegido de forma alguma. Nos últimos meses, os pesquisadores descobriram mais do que alguns servidores que estavam expondo os dados dos usuários a quem quisesse procurá-los e, em 25 de maio, o pesquisador e jornalista do SecurityDiscovery.com, Jeremiah Fowler, encontrou o mais recente deles.
Índice
Cinco Aplicativos de Namoro Expõem Milhões de Registros
Logo após descobrir a instalação ofensiva do Elasticsearch, Fowler viu várias dicas que sugeriam que ele estava olhando para as informações coletadas por um aplicativo de namoro. Um pouco mais de pesquisa, no entanto, revelou que os dados pertenciam aos usuários de não um, mas cinco serviços diferentes de comparação. Os nomes são:
- Cougardating
- Christiansfinder
- Mingler
- Fwbs
- TS
Curiosamente, as informações disponíveis sobre os aplicativos mencionados sugerem que eles são desenvolvidos e distribuídos por entidades completamente diferentes e, no entanto, parecem estar armazenando os dados de seus usuários no mesmo banco de dados.
É difícil dizer se todos eles foram desenvolvidos pelas mesmas pessoas, mas o que está fora de dúvida é que quem é responsável por eles não parece demonstrar interesse em proteger o banco de dados com vazamento. De fato, eles não parecem interessados em ser contatados.
A Conexão Chinesa
O banco de dados está hospedado em um servidor com sede nos EUA, e a maioria das pessoas cujas informações estão nele são americanas. No entanto, quando Fowler analisou os registros Whois dos sites dos aplicativos, ele descobriu que eles poderiam ser provenientes da China. Infelizmente, isso não o aproximou de entrar em contato com os desenvolvedores e ajudá-los a proteger os dados das pessoas.
Alguns dos domínios eram protegidos por privacidade, o que significa que não havia informações de contato publicamente disponíveis sobre o proprietário. Com outros, os dados eram falsos, e um dos aplicativos tinha um endereço vinculado ao domínio que acabou sendo uma estação de metrô na cidade chinesa de Lanzhou. Depois de perceber que é improvável que entre em contato com quem pode obter os dados expostos, Fowler decidiu compartilhar publicamente as informações e alertar os usuários dos aplicativos que provavelmente não suspeitam de nada. Eles precisam estar alarmados.
É Hora de Começar a Avaliar a Importância do Seu Nome de Usuário
O banco de dados expõe um total de 42,5 milhões de registros de usuários e Jeremiah Fowler observou que nenhum deles contém "PII". "PII" significa Informações de identificação pessoal e, ao longo dos anos, especialistas discutiram sobre o que esse termo implica. Não é difícil ver o porquê.
O banco de dados Elasticsearch Fowler encontrado, por exemplo, não contém nomes reais, senhas, endereços reais ou qualquer outra informação particularmente reveladora. Dentro dele, você encontrará apenas um endereço IP, idade, local e nome de usuário. No que diz respeito ao seu relatório, não havia nenhum e-mail, o que poderia levar algumas pessoas a dar um suspiro de alívio.
Como Fowler observou, no entanto, as coisas não são tão simples assim. Muitas pessoas usam apelidos para esconder a sua identidade real. Porém, apelidos, tais como senhas, são reutilizados e, às vezes, são usados em sites que contêm muitas informações pessoais. Com a ajuda do Google e usando alguns dos nomes de usuário do banco de dados não seguro, Fowler conseguiu vincular registros a identidades do mundo real e, como também tinha a geolocalização dos usuários afetados, tinha poucas dúvidas de que sua breve pesquisa produziu resultados genuínos.
Pelo menos duas lições podem ser aprendidas com essa única exposição de dados. A primeira é que, se você está pensando em instalar um aplicativo que poucas pessoas ouviram falar, provavelmente deve reservar um tempo para pesquisar um pouco mais de antemão e se acha que o desenvolvedor não está compartilhando muita informação , pense duas vezes se realmente precisa. A segunda moral da história é que, especialmente se você planeja usar um serviço que não deseja que outras pessoas conheçam, certifique-se de que o seu nome de usuário, bem como a sua senha, não volte para assombrá-lo.
