Aplicativos de namoro não conseguem proteger seus clientes novamente: 6 aplicativos vazam milhões de registros
Uma das coisas que mais amamos na internet é o fato de podermos encontrar tanta informação nela. Curiosamente, uma das coisas que mais odiamos na internet também é o fato de podermos encontrar tanta informação nela. Pesquisadores de segurança do WizCase, por exemplo, descobriram recentemente que, se soubessem onde procurar, os usuários de seis aplicativos de namoro poderiam encontrar seus dados pessoais expostos em bancos de dados que não eram protegidos por senha e eram acessíveis de qualquer lugar do mundo.
Índice
Cinco bancos de dados mal protegidos vazam milhões de registros cheios de informações pessoais
Os especialistas descobriram três instalações do ElasticSearch, um Amazon S3 Bucket e um banco de dados MongoDB expostos à Internet e acessíveis sem qualquer forma de autenticação. Dois dos fornecedores são baseados nos EUA, dois estão localizados na Coréia do Sul e um opera no Japão, e todos eles executam sites e aplicativos de namoro. Aqui estão os nomes dos serviços e os dados que vazaram:
- CatholicSingles.com
- SPYKX.com
- Tiki
- Embaçado
- Charin e Kyuun
O balde S3 pesava apenas 17 MB e detinha 50 mil registros um tanto modestos. A maioria dos perfis parece ter sido banida, mas a última atividade registrada é recente, o que mostra que os dados vazados são provavelmente válidos. Inclui itens como nomes, endereços de e-mail, números de telefone, idade, sexo, ocupação, endereços de cobrança, métodos de pagamento, etc.
O SPYKX.com é um fornecedor sul-coreano que desenvolve e executa vários serviços diferentes. Um deles é um aplicativo de namoro chamado Condaq / Kongdak e, por algum motivo, o desenvolvedor decidiu que seria uma boa ideia colocar alguns dos dados do usuário do aplicativo em um servidor ElasticSearch desprotegido. Cerca de 123 mil registros expuseram 600 MB em detalhes pessoais, incluindo endereços de e-mail, senhas em texto simples, datas de nascimento e até dados GPS.
O Tiki é, supostamente, "um novo tipo de aplicativo de namoro" e, de acordo com o site, o usuário tem controle sobre o tipo de informação pessoal que as datas em potencial podem ver. Essa afirmação é especialmente irônica, considerando o fato de o desenvolvedor do Tiki colocar algumas dessas informações em um banco de dados do MongoDB que era acessível com um navegador simples. Um pouco mais de quatro mil registros foram expostos e incluíam desde classificações de usuários e registros de atividades até nomes, números de telefone, locais de datas etc.
O Blurry é um aplicativo de namoro da Coréia do Sul que permite aos usuários desfocar a tela durante as vídeo chamadas. Ele é destinado a usuários que são muito tímidos para interagir ou não têm muita confiança em sua aparência, e você pode imaginar como essas pessoas se sentirão quando souberem que algumas de suas conversas particulares foram expostas por um servidor ElasticSearch mal configurado. Os 70 mil registros não continham detalhes pessoais, mas as mensagens vazadas estavam cheias de números do WhatsApp, identificadores do Instagram e outras informações que poderiam expor a vítima a todo tipo de ataque.
Ainda outro banco de dados ElasticSearch mal configurado pertence aos desenvolvedores de Charin e Kyuun - dois aplicativos japoneses que parecem ser executados pela mesma empresa. Foi de longe o maior vazamento, com 57 GB de dados expostos e pouco mais de 100 milhões de registros abertos ao público. O preocupante é que, além de IDs de usuário, informações sobre dispositivos móveis e preferências de pesquisa, o banco de dados continha endereços de email e senhas em texto simples.
Já era um vazamento substancial, mas a investigação do WizCase não parou por aí.
Os especialistas não conseguiram identificar os proprietários de mais seis bancos de dados desprotegidos
Os pesquisadores descobriram mais seis bancos de dados não seguros, cheios de dados. Mais uma vez, os usuários dos serviços de namoro foram afetados, mas desta vez parecia que os desenvolvedores não eram responsáveis pelo vazamento.
Os especialistas conseguiram vincular os dados a vários aplicativos - Zhenai, Say Love, Netease, Love Chat e Companion. Eles disseram, no entanto, que os bancos de dados não continham informações pessoalmente identificáveis e eram provavelmente o resultado de raspagem na web. Eles também afirmam que os cibercriminosos podem usar as informações neles para identificar outros perfis publicamente disponíveis e potencialmente obter acesso a dados mais confidenciais.
O que os usuários precisam procurar?
Nunca é divertido ver aplicativos de namoro vazando dados do usuário. Embora os serviços sobre os quais estamos falando hoje não sejam tão específicos quanto os que discutimos há algumas semanas, os indivíduos afetados podem não estar necessariamente interessados no mundo inteiro, sabendo que os estão usando.
Infelizmente, como muitos aplicativos estão envolvidos, não temos como saber quantas pessoas são afetadas pelos vazamentos. O que sabemos, no entanto, é que, se você usou algum dos serviços mencionados neste artigo, precisa ter muito mais cuidado do que costuma usar. Os dados em alguns bancos de dados podem fornecer aos cibercriminosos tudo o que precisam para se passar por você e roubar sua identidade online. Além disso, eles podem usá-lo para encontrar mais informações sobre você e montar ataques adicionais.
Tentativas de chantagem com base no fato de você estar usando um aplicativo de namoro não estão fora de questão em alguns casos, e as senhas de texto sem formatação expostas quase certamente serão usadas em ataques de preenchimento de credenciais.
