Шокирующая утечка данных в приложении Key Ring раскрыла 14 миллионов пользователей

Если вы все еще думаете, что серьезные утечки данных не так распространены, у нас есть история, которая может изменить ваше мнение. В январе группа исследователей во главе с Ноамом Ротемом и Раном Локаром обнаружила плохо сконфигурированное ведро AWS S3, которое отображало большой объем информации. К сожалению, в своей статье для vpnMentor эксперты признали, что были настолько заняты, сообщая о других утечках данных в то время, что не могли сразу же исследовать проблему и уведомить людей, ответственных за разоблачение. Лишь через месяц они наконец-то приступили к работе над этой конкретной утечкой.

Поставщики услуг по-прежнему пытаются освоить механизмы безопасности, предлагаемые облачными решениями для хранения данных, и утечки отображаются слева, справа и в центре. Эксперты не в состоянии угнаться, и, как всегда, ничего не подозревающий пользователь остается нести ответственность за последствия. В этом случае потенциальные последствия были огромными.

Приложение Key Ring представляет цифровые кошельки пользователей всему миру.

Первое обнаруженное исследователями ведро содержало колоссальные 44 миллиона изображений. Это много данных, но по-настоящему шокирующей является природа раскрываемой информации. Как только они нашли время для расследования, исследователи обнаружили, что неправильно настроенная корзина S3 принадлежала Key Ring - мобильному приложению, которое, среди прочего, дает вам возможность оцифровывать большую часть содержимого вашего кошелька. Это позволяет вам фотографировать и хранить виртуальные копии мыслей, таких как членские и подарочные карты. Некоторые из 14 миллионов человек, которые используют приложение, также загрузили сканы своих кредитных карт и документов, удостоверяющих личность. Пока они это делали, они, вероятно, думали, что их данные будут надежно храниться. Они были не правы.

Неправильно настроенное ведро S3 содержало сканы кредитных карт, членских и лояльных карт, медицинских карт конопли, водительских прав и других документов, удостоверяющих личность. Изображения были сохранены полностью в открытом виде, и они были доступны из любой точки мира. Вы уже можете видеть, насколько сильно утечка может повлиять на пользователей. К сожалению, это еще не конец.

Неверно сконфигурированные S3 ведра Key Ring просочились тонны личной информации

В том же ведре исследователи обнаружили несколько CSV-файлов, которые содержали личную информацию (PII), принадлежащую миллионам людей. Эти люди были в списках участников таких партнеров Key Ring, как Walmart, и в этих списках содержалось множество личных данных, таких как имена, адреса, даты рождения и т. Д.

Немного покопавшись, команда Ноама Ротема и Ран Локара обнаружили еще четыре неправильно настроенных корзины S3, связанных с Key Ring. Они содержали старые снимки базы данных приложения и отображали, среди прочего, электронную почту и домашние адреса пользователей, IP-адреса, информацию об устройствах и т. Д. В базах данных также содержались пароли, которые, по мнению исследователей, были «зашифрованы». К сожалению, механизм их шифрования остается неясным.

Также неизвестно, были ли исследователи единственными, кому удалось найти выставленные данные. 18 февраля им наконец-то удалось связаться с Key Ring и Amazon, а через два дня ведра были отключены, но на данный момент мы не знаем, когда они были установлены в первую очередь. К сожалению, мы должны отметить, что, хотя информация была защищена относительно быстро, отношение Key Ring к инциденту вряд ли является образцовым.

Когда происходят подобные утечки, пользователи ожидают получать индивидуальные уведомления, которые сообщают им о том, что произошло, и на что им нужно обратить внимание. Между тем, широкая публика ожидает официального объявления от поставщика, в котором также содержится подробная информация об инциденте и мерах предосторожности, принятых для обеспечения того, чтобы это больше не повторилось. С Key Ring мы не видели ничего из этого.

Объем обнародованных данных в сочетании с отсутствием какого-либо официального ответа означает, что мы не можем ничего сделать, кроме как предположить, что затронуты все 14 миллионов пользователей Key Ring. Если вы один из них, вы должны быть намного осторожнее, чем обычно, особенно если вы сохранили какие-либо конфиденциальные данные в приложении.