9 разных приложений для знакомств утекли более 20 миллионов файлов

Dating Apps Data Leak

Чтобы доказать, насколько опасными могут быть незащищенные базы данных, группа исследователей недавно заполнила установку Elasticsearch фиктивными данными, преднамеренно неверно сконфигурировала их и подождала, чтобы узнать, сколько времени потребуется хакерам, чтобы найти их и начать собирать информацию. Первая атака была засвидетельствована в течение восьми часов после появления базы данных в сети, и в течение следующих десяти дней доступ к honeypot осуществлялся в среднем восемнадцать раз в день. Эти результаты должны быть особенно огорчительными для пользователей нескольких нишевых приложений для знакомств, у которых, как вы уже могли догадаться, некоторые их данные хранятся в плохо защищенной базе данных.

По меньшей мере девять приложений для знакомств предоставили явные данные пользователя в незащищенном сегменте S3

Это последнее из очень длинной серии открытий, сделанных командой исследователей VPNMentor во главе с Ноамом Ротемом и Ран Локаром. В рамках своего масштабного проекта веб - отображения, они расположены необеспеченный Amazon Web Services S3 ведро на 24 мая В общем, база данных содержала 20,4 миллиона файлов весом в 845GB.

Одним из интересных моментов в базе данных было то, что раскрываемая ею личная информация была ограничена. Однако медиа-файлов было довольно много, и мы вполне уверены, что их владельцы хотели бы, чтобы они оставались конфиденциальными. Было много откровенно сексуальных фотографий, на которых были видны лица, скриншоты разговоров в чате, голосовые сообщения, а также детали финансовых транзакций.

Чтобы защитить конфиденциальность уязвимых пользователей, исследователи решили не тщательно изучать данные, а это означает, что невозможно точно оценить точное число пострадавших. Однако в своем отчете Rotem и Locar отметили, что в этом участвуют сотни тысяч и, возможно, миллионы пользователей.

Данные просочились через несколько приложений для знакомств. Расследование исследователей привело их к компании под названием «Cheng Du New Tech Zone», которая была указана в разделе контактов нескольких приложений для подключения в Google Play. Сходство в дизайне сайтов приложений подтвердило, что они, скорее всего, разработаны одной и той же группой людей. Вот список:

  • GHunt
  • Знакомства с герпесом
  • SugarD
  • Casualx
  • BBW Знакомства
  • XPAL
  • Gay Daddy Bear
  • Cougary
  • 3somes

Эксперты уверены, что эти девять приложений были вовлечены в нарушение, но они считают, что пользователи других приложений от того же разработчика также могут быть затронуты.

Последствия утечки могут быть ужасающими

Хорошей новостью является то, что данные больше не онлайн. Спустя два дня после обнаружения утечки, исследователи использовали контактную форму одного из затронутых приложений, и, к их удивлению, они получили ответ почти сразу. Команда VPNMentor ответила на запрос о дополнительной информации, отправив URL-адрес одной из баз данных. Несмотря на то, что разработчик решил больше не общаться с исследователями, все данные были отключены в течение 24 часов. На момент написания этой статьи некоторые приложения также были удалены из Google Play.

Это все хорошо, но, разумеется, разработчик не должен был ошибиться с самого начала. Как видите, мы не говорим о ваших типичных конкурентах Tinder. Приложения предназначены для людей с определенными сексуальными предпочтениями и фетишами, которые могут подвергаться стигматизации. Те, кто их использует, вероятно, не хотят обнародовать это, и они, конечно, не хотели бы показывать фотографии и разговоры, которыми они делятся друг с другом. Если данные попадут в чужие руки, злоумышленники могут утечь изображения, проконсультировать пострадавших или вымогать их. Рабочие места могут быть потеряны, семьи могут быть разрушены, а репутация может быть разрушена.

Поддержка приложений знакомств всегда несет более высокую степень ответственности. Иногда люди доверяют этим продуктам свои самые сокровенные секреты, и мы можем с уверенностью сказать, что в случае приложений для датирования в Cheng Du New Tech Zone их доверие было неуместным. Единственное, что они могут сделать сейчас, - это надеяться, что, несмотря на результаты исследования, о котором мы говорили в первом абзаце, никто, кроме экспертов VPNMentor, не видел явных данных.

June 16, 2020
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.