Vazamento de dados pessoais de banco de dados de serviço de encontros sem proteção
Outro banco de dados exposto em um servidor online foi hackeado e vazou os dados pessoais de seus usuários. O banco de dados em questão pertencia a um site de namoro estava sendo executado em um servidor Elastisearch e não era protegido por senha. A descoberta de que o banco de dados foi exposto foi feita no final de agosto de 2020 por pesquisadores de segurança do vpnMentor.
Depois que os pesquisadores de segurança contataram os proprietários do banco de dados, ele foi rapidamente retirado, mas isso não significa que o banco de dados não vazou com certeza. Havia um total de mais de 880 gigabytes de arquivos de log de notificação push armazenados no banco de dados com defeito . Os arquivos de log continham os detalhes de 66 milhões de notificações geradas nos últimos quatro dias, junto com informações pessoais de centenas de milhares de usuários.
O agregador de serviços de namoro que opera o banco de dados armazenou notificações provenientes de mais de 70 sites de namoro diferentes. Parecia que muitas das notificações eram spam, com mensagens oferecendo aos homens a possibilidade de encontrar parceiros de partes do mundo, como Ásia ou Europa Oriental. Da forma como o sistema foi configurado, as novas notificações alertaram os usuários de que uma suposta mulher havia enviado uma mensagem para atrair as pessoas de volta ao serviço.
Informações do usuário pessoalmente identificáveis expostas
Embora tudo isso tenha sido feito com o consentimento dos usuários, o problema é que havia muitas informações pessoais envolvidas. O banco de dados não estava simplesmente armazenando as notificações em si, mas também continha um fragmento sinalizado como dados de 'depuração' que continham detalhes pessoais dos usuários. As informações de identificação pessoal nos logs incluíam nomes, e-mails, sexo, bem como dados de geolocalização e endereço IP.
Para piorar a situação, as sequências de caracteres nas notificações também continham links e chaves de autenticação para perfis de usuário, o que poderia dar aos malfeitores acesso ilimitado aos perfis, sem nem mesmo precisar da senha do usuário. Qualquer pessoa que potencialmente obtivesse o banco de dados desprotegido poderia ter acessado toneladas de informações do usuário, incluindo perfis e mensagens anteriores enviadas através do serviço.
Vazamentos de informações pessoais, especialmente relacionados a sites e serviços de namoro, podem causar muitos problemas para as pessoas envolvidas, incluindo tentativas de extorsão e chantagem.
