Ценность частных данных пользователя за десятилетие была раскрыта Rallyhood

Когда Зак Уиттекер из TechCrunch связался с Rallyhood, чтобы поговорить о неправильно сконфигурированной корзине S3, которая открывала довольно много пользовательских данных, ему первоначально сказали, что база данных с утечками использовалась только для целей тестирования и что фактическая информация людей хранилась «в высоко защищенное ведро. Позже Крис Олдерсон, технический директор Rallyhood, представил другую версию событий. Он признал, что во время проекта миграции «разрешения были по ошибке оставлены открытыми» в одном из хранилищ компании на «короткий период». На момент написания статьи это единственная информация, которую Rallyhood поделилась с остальным миром относительно инцидента, и нужно сказать, что это вряд ли идеально, учитывая количество и характер утечек данных.

В другой день, еще одно протекающее ведро S3 разоблачает файлы миллионов пользователей

Утечка была обнаружена исследователем в области безопасности, который предпочитает, чтобы его знали по его ручке в Twitter Timeless. Timeless решил использовать влияние TechCrunch для обеспечения максимально быстрой защиты данных, что, в свете бизнеса Rallyhood и огромной базы пользователей, действительно было самой неотложной задачей.

Популярность сайта получила огромный толчок, когда Yahoo объявила, что собирается ускорить Yahoo Groups, и толпы людей перенесли свои обсуждения в Rallyhood. Однако следует отметить, что Rallyhood - это нечто большее, чем просто доска объявлений. Это также платформа для совместной работы, которая используется организациями всех форм и размеров с целью организации и отслеживания задач и событий. Это означает, что Rallyhood нужно обрабатывать и хранить много данных.

Компания не скажет, сколько активных пользователей имеет платформа, и на данный момент оценить точное количество людей, затронутых утечкой, не представляется возможным. Что мы знаем, так это то, что корзина S3 содержала колоссальные 4,1 ТБ данных и что из-за слишком распространенной ошибки конфигурации она была общедоступной без пароля. По словам Зака Уиттакера, URL был «легко угадываемым», что сделало возможность того, что кто-то получит информацию, еще более реальной.

Некоторые из представленных данных чрезвычайно чувствительны

Уиттакер просмотрел некоторые файлы и нашел контактные данные, которые позволили ему связаться с затронутыми пользователями и проверить подлинность утечки. К сожалению, помимо телефонов и адресов электронной почты, корзина содержала гораздо больше информации.

Репортер TechCrunch нашел что-то от контрактов и разрешений, соглашений о неразглашении и списков общих паролей, которые определенно не должны были быть общедоступными. Как мы уже упоминали, технический директор Rallyhood попытался ограничить ущерб, сказав TechCrunch, что воздействие продлилось недолго, но он предпочел не говорить, насколько «коротким» был «короткий период». Мы точно знаем, что некоторые из файлов в просочившейся базе данных имели временную метку 2011 года. К сожалению, несмотря на то, что в неверно сконфигурированной базе данных было почти десятилетних личных файлов, Rallyhood отказался сообщить TechCrunch, есть ли у компании какие-либо планы по информированию потенциально затронутых лиц об этом.

В целом, до сих пор Rallyhood продемонстрировал явное отсутствие прозрачности при обработке того, что, несомненно, является довольно серьезной утечкой данных. Компания явно допустила ошибку, что вряд ли является хорошей вещью, но действительно плохое впечатление возникает из-за того, что она действует так, как будто не желает брать на себя ответственность.