Milhares de usuários do PhotoSquared estão enfrentando uma violação de dados
Como alguns de vocês já devem saber, Noam Rotem e Ran Locar lideram uma equipe de pesquisadores do VPN Mentor encarregada de um projeto de mapeamento da Web em larga escala, projetado para descobrir e proteger bancos de dados mal protegidos que vazam informações confidenciais. Nos últimos meses, eles relataram várias violações massivas de dados e mostraram realmente com que frequência as empresas não fazem o suficiente para proteger os dados dos usuários. Rotem e Locar admitiram que descobrir quem está vazando as informações geralmente requer dias de investigação e muito trabalho duro. Com a descoberta mais recente, no entanto, esse não foi o caso.
Durante uma sessão de verificação de portas, a equipe do Rotem e da Locar descobriram um bucket do AWS S3 que era acessível ao público e não protegido por senha. Ele possuía pouco menos de 95 GB de dados e o nome do seu proprietário estava disponível no URL - PhotoSquared.
O que é o PhotoSquared?
Você tem uma chance maior de entender o escopo do vazamento se souber o que o PhotoSquared faz. Ele quer ser uma das respostas do século XXI à loja de reveladores de fotos. Em vez de ir para um local físico e entregar manualmente as fotos que deseja em formato impresso, basta usar o aplicativo móvel para escolher suas fotos favoritas no rolo da câmera ou nos feeds das mídias sociais. Um pagamento on-line mais tarde, o PhotoSquared imprime suas fotos em quadros de 20 x 30 cm e as envia de volta para o seu endereço. Parece muito conveniente, e é provavelmente por isso que mais de 100 mil pessoas fizeram o download do aplicativo no Google Play. O modelo de negócios significa, no entanto, que alguém, em algum lugar, é encarregado de lidar com os detalhes pessoais e as fotos favoritas de um grande número de usuários. Infelizmente, alguém não fez um bom trabalho.
Um balde S3 mal configurado vaza as fotos e informações pessoais de centenas de milhares de usuários
O tamanho do banco de dados foi uma oferta muito boa quanto ao seu conteúdo. Quando o abriram, Noam Rotem e Ran Locar encontraram cerca de 1 milhão de registros que incluíam:
- Fotos dos usuários preparadas para edição e impressão
- Registros e recibos de pedidos salvos como documentos PDF
- Etiquetas e informações de remessa
- Nomes de usuários
- Endereço residencial e de entrega
É difícil dizer quantas pessoas são afetadas pelo vazamento, mas os pesquisadores apontaram que as informações no banco de dados foram coletadas entre novembro de 2016 e janeiro de 2020, o que é um período de tempo significativo. Como os especialistas também observaram, as possíveis repercussões são bastante assustadoras.
Uma combinação de fotos particulares e informações pessoais (incluindo endereços residenciais) pode dar a um ladrão em potencial uma boa visão da vida de seu alvo. Além disso, os detalhes vazados podem atuar como ponto de partida para reconhecimento adicional e outras atividades criminosas.
Rotem e Locar descobriram o balde desprotegido em 30 de janeiro e entraram em contato com o desenvolvedor do aplicativo em 4 de fevereiro. O PhotoSquared levou dez dias inteiros para proteger o banco de dados, mas, felizmente, agora está offline. Não há evidências de alguém abusando dos dados expostos, o que significa que podemos fazer pouco mais do que esperar que todos tenham aprendido suas lições.
O incidente é o próximo de uma longa linha de lembretes sombrios de que, embora aplicativos como o PhotoSquared tragam uma dose saudável de conveniência e novidade para nossas vidas, usá-los geralmente significa confiar a eles muitas informações pessoais extremamente sensíveis. Isso é algo que provavelmente devemos ter em mente antes de clicar no botão Instalar.
A violação também deve lembrar aos desenvolvedores desses aplicativos que lidar com os dados de centenas de milhares de pessoas é uma enorme responsabilidade. Erros simples de configuração incorreta, como o que o PhotoSquared fez, devem ser completamente intoleráveis.