Mais de 20 milhões de arquivos foram vazados por 9 aplicativos diferentes de namoro

Dating Apps Data Leak

Para provar o quão perigoso poderia ser o banco de dados não seguro, um grupo de pesquisadores recentemente encheu uma instalação do Elasticsearch com dados fictícios, configurou-o deliberadamente de forma incorreta e esperou para ver quanto tempo levaria para os hackers encontrá-lo e começar a raspar as informações. O primeiro ataque foi testemunhado oito horas após o banco de dados ficar on-line e, nos dez dias seguintes, o honeypot foi acessado em média dezoito vezes por dia. Esses resultados devem ser particularmente preocupantes para os usuários de alguns aplicativos de namoro de nicho que, como você já deve ter adivinhado, tinham alguns dados armazenados em um banco de dados mal protegido.

Pelo menos nove aplicativos de namoro expuseram dados explícitos do usuário em um bucket S3 não seguro

É o mais recente de uma longa linha de descobertas feitas pela equipe de pesquisadores do VPNMentor liderada por Noam Rotem e Ran Locar. Como parte de seu enorme projeto de mapeamento da web, eles localizaram um bucket não seguro do Amazon Web Services S3 em 24 de maio. No total, o banco de dados continha 20,4 milhões de arquivos com 845 GB de tamanho.

Uma das coisas interessantes sobre o banco de dados é que as informações pessoalmente identificáveis expostas eram limitadas. Porém, havia muitos arquivos de mídia, e temos certeza de que seus proprietários gostariam que eles permanecessem privados. Havia muitas fotos sexualmente explícitas com rostos visíveis, capturas de tela de conversas de bate-papo, mensagens de voz e detalhes de transações financeiras.

Para proteger a privacidade dos usuários expostos, os pesquisadores decidiram não vasculhar os dados completamente, o que significa que é impossível estimar corretamente o número exato de indivíduos afetados. Rotem e Locar disseram em seu relatório, no entanto, que centenas de milhares e possivelmente milhões de usuários estão envolvidos.

Os dados vazaram por vários aplicativos de namoro. A investigação dos pesquisadores levou-os a uma empresa chamada "Cheng Du New Tech Zone", listada na seção de contatos de vários aplicativos de conexão no Google Play. As semelhanças no design do site dos aplicativos confirmaram que eles provavelmente são desenvolvidos pelo mesmo grupo de pessoas. Aqui está a lista:

  • GHunt
  • Herpes Dating
  • SugarD
  • Casualx
  • BBW Dating
  • Xpal
  • Gay Daddy Bear
  • Cougary
  • 3somes

Os especialistas têm certeza de que esses nove aplicativos foram envolvidos na violação, mas calculam que os usuários de outros aplicativos pelo mesmo desenvolvedor também podem ser afetados.

As consequências do vazamento podem ser horríveis

A boa notícia é que os dados não estão mais online. Dois dias após descobrirem o vazamento, os pesquisadores usaram o formulário de contato de um dos aplicativos afetados e, para sua surpresa, receberam uma resposta quase imediatamente. A equipe do VPNMentor respondeu à solicitação de mais informações enviando a URL de um dos bancos de dados. Apesar do fato de o desenvolvedor ter decidido não se comunicar mais com os pesquisadores, todos os dados foram retirados do ar em 24 horas. No momento da redação deste artigo, alguns aplicativos parecem ter sido removidos do Google Play também.

Tudo está bem, mas nem é preciso dizer que o desenvolvedor não deveria ter cometido o erro em primeiro lugar. Como você pode ver, não estamos falando sobre seus concorrentes típicos do Tinder. Os aplicativos são direcionados a pessoas com preferências e fetiches sexuais específicos que podem ser estigmatizados. Quem os usa provavelmente não quer anunciar publicamente, e certamente não gostaria de expor as fotos e conversas que compartilham. Se os dados caírem em mãos erradas, os criminosos podem vazar as imagens, dox os indivíduos afetados ou extorquê-los. Empregos podem ser perdidos, famílias podem ser destruídas e reputação pode ser arruinada.

Manter aplicativos de namoro sempre carrega um maior grau de responsabilidade. As pessoas confiam nesses produtos com seus segredos mais íntimos às vezes, e podemos dizer com segurança que, no caso dos aplicativos de namoro da Cheng Du New Tech Zone, sua confiança foi perdida. A única coisa que eles podem fazer agora é esperar que, apesar das descobertas no artigo de pesquisa de que falamos no primeiro parágrafo, ninguém além dos especialistas do VPNMentor tenha visto os dados explícitos.

June 16, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.