Приложения для знакомств не могут снова защитить своих клиентов: 6 приложений пропускают миллионы записей
Одна из вещей, которые мы любим в Интернете, это то, что мы можем найти столько информации о нем. Любопытно, что одна из вещей, которые мы ненавидим в Интернете больше всего, это также тот факт, что мы можем найти столько информации о нем. Например, исследователи безопасности из WizCase недавно обнаружили, что если бы они знали, где искать, пользователи шести приложений для знакомств могли бы найти свои личные данные в базах данных, которые не были защищены паролем и были доступны из любой точки мира.
Table of Contents
Пять плохо защищенных баз данных пропускают миллионы записей, полных личной информации
Эксперты обнаружили три установки ElasticSearch, Amazon S3 Bucket и базу данных MongoDB, открытые для Интернета и доступные без какой-либо аутентификации. Два из этих поставщиков базируются в США, два находятся в Южной Корее, один работает в Японии, и все они используют сайты знакомств и приложения. Вот названия сервисов и данные, которые они пропустили:
- CatholicSingles.com
- SPYKX.com
- Tiki
- Размытые
- Чарин и Кьюн
Объем памяти S3 составлял всего 17 МБ и содержал несколько скромных 50 тысяч записей. Большинство профилей, по-видимому, заблокированы, но последнее зарегистрированное действие является недавним, что свидетельствует о том, что утечка данных, скорее всего, действительна. Он включает в себя такие вещи, как имена, адреса электронной почты, номера телефонов, возраст, пол, род занятий, адреса для выставления счетов, способы оплаты и т. Д.
SPYKX.com - южнокорейский поставщик, который разрабатывает и использует несколько различных сервисов. Одним из них является приложение для знакомств Condaq / Kongdak, и по какой-то причине разработчик решил, что было бы неплохо поместить некоторые пользовательские данные приложения на незащищенный сервер ElasticSearch. Около 123 тысяч записей раскрыли личные данные на 600 МБ, включая адреса электронной почты, незашифрованные пароли, даты рождения и даже данные GPS.
Предполагается, что Tiki - это «новый тип приложений для знакомств», и, согласно его веб-сайту, пользователь имеет контроль над типом личной информации, которую потенциальные посетители могут увидеть. Это утверждение особенно иронично, учитывая тот факт, что разработчик Tiki поместил часть упомянутой информации в базу данных MongoDB, доступную через простой браузер. Было выставлено чуть более 4 тысяч записей, и они включали в себя что угодно: от пользовательских рейтингов и журналов активности до имен, телефонных номеров, мест проведения встреч и т. Д.
Blurry - это приложение для знакомств в Южной Корее, которое позволяет пользователям размыть экран во время видеозвонков. Предполагается, что он предназначен для пользователей, которые слишком стеснительны, чтобы взаимодействовать или не очень уверены в своей внешности, и вы можете только представить, что эти люди будут чувствовать, когда узнают, что некоторые из их личных разговоров были раскрыты плохо настроенным сервером ElasticSearch. 70 тысяч записей не содержали никаких личных данных, но просочившиеся сообщения были полны номеров WhatsApp, дескрипторов Instagram и другой информации, которая могла подвергнуть жертву всевозможным атакам.
Еще одна неверно сконфигурированная база данных ElasticSearch принадлежит разработчикам Charin и Kyuun - двум японским приложениям, которые, похоже, работают под управлением одной и той же компании. Это была самая большая утечка: 57 ГБ открытых данных и чуть более 100 миллионов записей, открытых для общественности. К сожалению, в дополнение к идентификаторам пользователей, информации о мобильных устройствах и настройкам поиска база данных содержала адреса электронной почты и пароли в виде простого текста.
Это была уже довольно существенная утечка, но расследование WizCase на этом не остановилось.
Эксперты не смогли определить владельцев еще шести незащищенных баз данных
Исследователи обнаружили еще шесть незащищенных баз данных, заполненных данными. Еще раз, пользователи служб знакомств пострадали, но на этот раз оказалось, что разработчики не несут ответственности за утечку.
Экспертам удалось связать данные с несколькими приложениями - Zhenai, Say Love, Netease, Love Chat и Companion. Однако они сказали, что базы данных не содержат никакой личной информации и, скорее всего, являются результатом взлома веб-страниц. Они также утверждают, что киберпреступники могут использовать содержащуюся в них информацию, чтобы идентифицировать другие общедоступные профили и потенциально получить доступ к более конфиденциальным данным.
Что нужно искать пользователям?
Никогда не весело видеть, что приложения для знакомств пропускают пользовательские данные. Хотя службы, о которых мы говорим сегодня, не столь нишевые, как те, которые мы обсуждали несколько недель назад, пострадавшие люди не обязательно будут заинтересованы во всем мире, зная, что они их используют.
К сожалению, поскольку задействовано так много приложений, у нас нет возможности узнать, сколько людей затронуты утечками. Однако мы знаем, что если вы пользовались какой-либо из услуг, упомянутых в этой статье, вам нужно быть намного осторожнее, чем обычно. Данные в некоторых базах данных могут предоставить киберпреступникам все, что им нужно, чтобы выдать себя за вас и украсть вашу личность в Интернете. Более того, они могут использовать его для получения дополнительной информации о вас и проведения дополнительных атак.
Попытки шантажа, основанные на том факте, что вы используете приложение для знакомств, в некоторых случаях не исключены, и открытые пароли в виде открытого текста почти наверняка будут использоваться при атаках по заполнению учетных данных.
