Тысячи пользователей PhotoSquared сталкиваются с нарушением данных
Как некоторые из вас уже могут знать, Ноам Ротем и Ран Локар возглавляют группу исследователей в VPN Mentor, которой поручен крупномасштабный проект веб-картографирования, предназначенный для обнаружения и защиты плохо защищенных баз данных, которые пропускают конфиденциальную информацию. За последние несколько месяцев они сообщили о большом количестве утечек данных и действительно показали, как часто компании не делают достаточно для защиты данных пользователей. Ротем и Локар признали, что для выяснения того, кто передает информацию, часто требуются дни расследования и много тяжелой работы. Однако с их последним открытием это было не так.
Во время сеанса сканирования портов команда Rotem и Locar обнаружили контейнер AWS S3, который был общедоступным и не защищен паролем. Он содержал чуть менее 95 ГБ данных, а имя его владельца было доступно в URL - PhotoSquared.
Что такое PhotoSquared?
У вас больше шансов понять масштабы утечки, если вы знаете, что делает PhotoSquared. Это хочет быть один из ответов 21-го века на магазин разработчика фотографий. Вместо того, чтобы идти в физическое место и вручную передавать фотографии, которые вы хотите в печатном виде, вы просто используете мобильное приложение, чтобы выбрать ваши любимые снимки из вашей камеры или социальных сетей. Через Интернет платеж PhotoSquared распечатывает ваши фотографии на досках размером 8 x 8 дюймов и отправляет их обратно на ваш адрес. Звучит очень удобно, поэтому, вероятно, более 100 тысяч человек скачали приложение из Google Play. Однако бизнес-модель означает, что кому-то где-то поручено работать с личными данными и любимыми фотографиями большого числа пользователей. К сожалению, этот кто-то не сделал очень хорошую работу.
Неправильно настроенное ведро S3 пропускает фотографии и личную информацию сотен тысяч пользователей
Размер базы данных был довольно хорошим предложением относительно того, что она содержала. Когда они открыли его, Ноам Ротем и Ран Локар обнаружили около 1 миллиона записей, в том числе:
- Пользовательские фотографии, подготовленные для редактирования и печати
- Записи заказов и квитанции, сохраненные в формате PDF
- Этикетки и информация о доставке
- Имена пользователей
- Дом и адреса доставки
Трудно сказать, сколько людей пострадали от утечки, но исследователи отметили, что информация в базе данных была собрана в период с ноября 2016 года по январь 2020 года, что является значительным периодом времени. Как отмечают эксперты, потенциальные последствия довольно страшны.
Сочетание личных фотографий и личной информации (включая домашние адреса) может дать потенциальному грабителю довольно хорошее представление о жизни их цели. В дополнение к этому, утечка информации может служить отправной точкой для дополнительной разведки и дальнейшей преступной деятельности.
30 января Rotem и Locar обнаружили незащищенное хранилище и 4 февраля обратились к разработчику приложения. PhotoSquared потребовалось десять полных дней для защиты базы данных, но, к счастью, теперь она отключена. Нет никаких доказательств того, что кто-то злоупотреблял открытыми данными, а это значит, что мы можем сделать немного больше, чем надеяться, что все усвоили уроки.
Этот инцидент является следующим в очень длинной череде мрачных напоминаний о том, что, хотя такие приложения, как PhotoSquared, приносят в нашу жизнь здоровую дозу удобства и новизны, их использование часто означает доверять им довольно много чрезвычайно важной личной информации. Это то, что мы должны иметь в виду, прежде чем нажать кнопку Установить.
Нарушение должно также напомнить разработчикам этих приложений, что обработка данных сотен тысяч людей является огромной ответственностью. Простые ошибки в неправильной конфигурации, такие как допущенная PhotoSquared, должны быть абсолютно недопустимыми.