En chockerande nyckelring-appläcka har exponerat 14 miljoner användare

Om du fortfarande tror att allvarliga dataläckage inte är så vanliga har vi en berättelse som kanske bara kommer att byta tankar. I januari fann ett team av forskare under ledning av Noam Rotem och Ran Locar en dåligt konfigurerad AWS S3-hink som avslöjade en stor mängd information. Tyvärr, i sin artikel för vpnMentor, medgav experterna att de var så upptagna med att rapportera andra dataläckage vid den tiden, att de inte omedelbart kunde undersöka problemet och meddela de personer som är ansvariga för exponeringen. Det var inte förrän cirka en månad senare att de äntligen fick jobba med just denna läcka.

Tjänsteleverantörer kämpar fortfarande för att få tag på säkerhetsmekanismerna som erbjuds av molnlagringslösningar, och läckor visas vänster, höger och centrum. Experterna kan inte hålla jämna steg, och som alltid får den intetanande användaren bära konsekvenserna. I detta fall var de potentiella konsekvenserna enorma.

Appen Key Ring exponerar användarnas digitala plånböcker för hela världen

Den första hinken forskarna fann innehöll totalt 44 miljoner bilder. Det är mycket data, men den verkligen chockerande delen är den exponerade informationens natur. När de väl funnit tid att undersöka fann forskarna att den felkonfigurerade S3-hinken tillhörde Key Ring - en mobilapplikation som bland annat ger dig möjligheten att digitalisera det mesta av innehållet i din plånbok. Det låter dig fotografera och lagra virtuella kopior av tankar som medlemskort och presentkort. Några av de 14 miljoner människor som använder appen har också laddat upp skanningar av sina kreditkort och personliga ID-dokument. Medan de gjorde det trodde de antagligen att deras data skulle lagras säkert. De hade fel.

Den felkonfigurerade S3-hinken innehöll skanningar av kreditkort, medlemskaps- och lojalitetskort, medicinska cannabiskort, körkort och andra identifieringsdokument. Bilderna lagrades helt klart och de var tillgängliga var som helst i världen. Du kan redan se hur dåligt läckan kan påverka användare. Tyvärr var det inte slutet på det.

Key Rings felkonfigurerade S3-hinkar läckte massor av personlig information

I samma hink fann forskarna vissa CSV-filer som innehöll personlig identifierbar information (PII) som tillhör miljoner människor. Dessa människor var på medlemslistorna för Key Ring-partners som Walmart, och listorna innehöll ett mylder av personuppgifter som namn, adresser, födelsedatum etc.

Efter lite mer rommaging hittade Noam Rotem och Ran Locars team fyra fler felkonfigurerade S3-hinkar associerade med Key Ring. De innehöll gamla ögonblicksbilder av appens databas och exponerade bland annat användarnas e-post- och hemadresser, IP: er, enhetsinformation osv. Databaserna innehöll också lösenord, som enligt forskarna var "krypterade". Tyvärr är mekanismen för att krypa dem fortfarande oklar.

Det är också okänt om forskarna var de enda som lyckades hitta de exponerade uppgifterna. Den 18 februari lyckades de äntligen komma i kontakt med Key Ring och Amazon, och två dagar senare drogs hinkarna offline, men just nu vet vi inte när de placerades i första hand. Tyvärr bör vi påpeka att även om informationen säkrades relativt snabbt, är Key Rings inställning till händelsen knappast exemplifierande.

När läckor som detta inträffar förväntar sig användare att få individuella aviseringar som berättar vad som har hänt och vad de behöver se upp för. Samtidigt förväntar sig allmänheten ett officiellt tillkännagivande från säljaren, som också ger detaljer om händelsen och om försiktighetsåtgärder som vidtas för att se till att det inte händer igen. Med nyckelring har vi inte sett någon av dessa saker.

Volymen av de exponerade uppgifterna, i kombination med bristen på något officiellt svar, betyder att vi inte kan göra annat än att anta att alla 14 miljoner användare av Key Ring påverkas. Om du är en av dem måste du vara mycket försiktigare än du normalt är, särskilt om du har lagrat någon känslig information med appen.