Ett årtiondsvärde med privat användardata har exponerats av Rallyhood

När Zack Whittaker från TechCrunch kom i kontakt med Rallyhood för att prata om en felkonfigurerad S3-hink som avslöjade en hel del användardata, fick han höra att den läckande databasen endast användes för teständamål och att människors faktiska information hölls "i en mycket säkrade hink. ' Senare tillhandahöll Chris Alderson, Rallyhoods teknikchef, en annan version av händelserna. Han medgav att under ett migrationsprojekt "tillstånd lämnades felaktigt öppet" på en av företagets lagringsskopor under "en kort period." I skrivande stund är detta den enda information som Rallyhood har delat med resten av världen angående händelsen, och det måste sägas att detta knappast är idealiskt med tanke på mängden och arten av de läckta uppgifterna.

En annan dag, en annan läckande S3-hink exponerar filerna för miljontals användare

Läckan upptäcktes av en säkerhetsforskare som föredrar att bli känd av sitt Twitter-handtag, tidlös. Tidlös beslutade att använda TechCrunchs inflytande för att säkerställa att informationen säkras så snabbt som möjligt, vilket, mot bakgrund av Rallyhoods verksamhet och enorma användarbas, verkligen var den mest brådskande uppgiften.

Webbplatsens popularitet fick ett enormt uppsving när Yahoo tillkännagav att det är på väg att yxa Yahoo Groups och horder av människor flyttade sina diskussioner till Rallyhood. Vi bör dock påpeka att Rallyhood är mycket mer än bara en meddelandetavla. Det är också en samarbetsplattform som används av organisationer i alla former och storlekar i syfte att organisera och spåra uppgifter och evenemang. Detta innebär att Rallyhood måste bearbeta och lagra mycket data.

Företaget kommer inte att säga hur många aktiva användare plattformen har, och att uppskatta det exakta antalet personer som drabbats av läckan är inte riktigt möjligt just nu. Vad vi vet är att S3-skopan hade en enorm 4,1 TB data och att tack vare ett alltför vanligt konfigurationsfel var det offentligt tillgängligt utan lösenord. Enligt Zack Whittaker var URL: en också "lätt att gissa", vilket gjorde möjligheten att någon fick tag på informationen ännu mer verklig.

En del av de exponerade uppgifterna är extremt känsliga

Whittaker granskade några av filerna och hittade kontaktinformation som tillät honom att komma i kontakt med de drabbade användarna och verifiera äktheten hos läckan. Tyvärr, förutom telefoner och e-postadresser, innehöll skopan mycket mer information.

TechCrunchs reporter hittade allt från kontrakt och tillståndskontakter till icke-avslöjande avtal och listor över delade lösenord som definitivt inte var tänkta att vara offentligt tillgängliga. Som vi redan nämnde försökte Rallyhoods CTO att göra vissa skadebegränsningar genom att berätta för TechCrunch att exponeringen inte varade länge, men han föredrog att inte säga hur "kort" den "korta perioden" var. Det vi vet med säkerhet är att vissa av filerna i den läckta databasen hade en tidsstämpel från 2011. Trots att det fanns nästan ett decenniums värde av privata filer i den felkonfigurerade databasen, vägrade Rallyhood berätta för TechCrunch om företaget har några planer på att informera de potentiellt drabbade individerna om det.

Totalt sett har Rallyhood visat en tydlig brist på insyn i sin hantering av det som utan tvekan är en ganska allvarlig dataläckage. Företaget gjorde klart ett misstag, vilket knappast är bra, men det riktigt dåliga intrycket kommer av det faktum att det fungerar som om det inte är villigt att ta ansvaret.