Milhares de usuários do PhotoSquared estão enfrentando uma violação de dados

Como alguns de vocês já devem saber, Noam Rotem e Ran Locar lideram uma equipe de pesquisadores do VPN Mentor encarregada de um projeto de mapeamento da Web em larga escala, projetado para descobrir e proteger bancos de dados mal protegidos que vazam informações confidenciais. Nos últimos meses, eles relataram várias violações massivas de dados e mostraram realmente com que frequência as empresas não fazem o suficiente para proteger os dados dos usuários. Rotem e Locar admitiram que descobrir quem está vazando as informações geralmente requer dias de investigação e muito trabalho duro. Com a descoberta mais recente, no entanto, esse não foi o caso.

Durante uma sessão de verificação de portas, a equipe do Rotem e da Locar descobriram um bucket do AWS S3 que era acessível ao público e não protegido por senha. Ele possuía pouco menos de 95 GB de dados e o nome do seu proprietário estava disponível no URL - PhotoSquared.

O que é o PhotoSquared?

Você tem uma chance maior de entender o escopo do vazamento se souber o que o PhotoSquared faz. Ele quer ser uma das respostas do século XXI à loja de reveladores de fotos. Em vez de ir para um local físico e entregar manualmente as fotos que deseja em formato impresso, basta usar o aplicativo móvel para escolher suas fotos favoritas no rolo da câmera ou nos feeds das mídias sociais. Um pagamento on-line mais tarde, o PhotoSquared imprime suas fotos em quadros de 20 x 30 cm e as envia de volta para o seu endereço. Parece muito conveniente, e é provavelmente por isso que mais de 100 mil pessoas fizeram o download do aplicativo no Google Play. O modelo de negócios significa, no entanto, que alguém, em algum lugar, é encarregado de lidar com os detalhes pessoais e as fotos favoritas de um grande número de usuários. Infelizmente, alguém não fez um bom trabalho.

Um balde S3 mal configurado vaza as fotos e informações pessoais de centenas de milhares de usuários

O tamanho do banco de dados foi uma oferta muito boa quanto ao seu conteúdo. Quando o abriram, Noam Rotem e Ran Locar encontraram cerca de 1 milhão de registros que incluíam:

• Fotos dos usuários preparadas para edição e impressão
• Registros e recibos de pedidos salvos como documentos PDF
• Etiquetas e informações de remessa
• Nomes de usuários
• Endereço residencial e de entrega

É difícil dizer quantas pessoas são afetadas pelo vazamento, mas os pesquisadores apontaram que as informações no banco de dados foram coletadas entre novembro de 2016 e janeiro de 2020, o que é um período de tempo significativo. Como os especialistas também observaram, as possíveis repercussões são bastante assustadoras.

Uma combinação de fotos particulares e informações pessoais (incluindo endereços residenciais) pode dar a um ladrão em potencial uma boa visão da vida de seu alvo. Além disso, os detalhes vazados podem atuar como ponto de partida para reconhecimento adicional e outras atividades criminosas.

Rotem e Locar descobriram o balde desprotegido em 30 de janeiro e entraram em contato com o desenvolvedor do aplicativo em 4 de fevereiro. O PhotoSquared levou dez dias inteiros para proteger o banco de dados, mas, felizmente, agora está offline. Não há evidências de alguém abusando dos dados expostos, o que significa que podemos fazer pouco mais do que esperar que todos tenham aprendido suas lições.

O incidente é o próximo de uma longa linha de lembretes sombrios de que, embora aplicativos como o PhotoSquared tragam uma dose saudável de conveniência e novidade para nossas vidas, usá-los geralmente significa confiar a eles muitas informações pessoais extremamente sensíveis. Isso é algo que provavelmente devemos ter em mente antes de clicar no botão Instalar.

A violação também deve lembrar aos desenvolvedores desses aplicativos que lidar com os dados de centenas de milhares de pessoas é uma enorme responsabilidade. Erros simples de configuração incorreta, como o que o PhotoSquared fez, devem ser completamente intoleráveis.