Mer än 20 miljoner filer har läckts av 9 olika datingsappar
För att bevisa hur farliga osäkrade databaser kan vara, fyllde en grupp forskare nyligen en Elasticsearch-installation med dummidata, medvetet felkonfigurerade den och väntade på att se hur lång tid det skulle ta för hackarna att hitta den och börja skrapa informationen. Den första attacken bevittnades inom åtta timmar efter att databasen kom online, och under de kommande tio dagarna fick man tillgång till honeypoten i genomsnitt arton gånger per dag. Dessa resultat borde vara särskilt oroande för användare av några nischdatingappar som, som du kanske redan gissat, hade några av deras data lagrade i en dåligt säkrad databas.
Åtminstone nio datingappar exponerade explicita användardata i en osäker S3-hink
Det är det senaste i en mycket lång rad upptäckter gjorda av VPNMentors forskargrupp under ledning av Noam Rotem och Ran Locar. Som en del av deras massiva webbkartläggningsprojekt, lokaliserade de en oskyddad Amazon Web Services S3-hink den 24 maj. Totalt innehöll databasen 20,4 miljoner filer med en vikt på 845 GB.
En av de intressanta sakerna med databasen var att den personligt identifierbara informationen som den exponerade var begränsad. Det fanns dock en hel del mediefiler, och vi är ganska säkra på att deras ägare skulle ha velat att de skulle förbli privata. Det fanns många sexuellt tydliga foton med ansikten synliga på dem, skärmdumpar av chattkonversationer, röstmeddelanden samt detaljer om finansiella transaktioner.
För att skydda de utsatta användarnas integritet beslutade forskarna att inte granska uppgifterna noggrant, vilket innebär att det är omöjligt att korrekt uppskatta det exakta antalet drabbade individer. Rotem och Locar sa dock i sin rapport att hundratusentals och eventuellt miljoner användare är inblandade.
Uppgifterna läckte ut av flera dateringsapplikationer. Forskarnas undersökning ledde dem till ett företag som hette "Cheng Du New Tech Zone", som listades i kontakter i flera anslutningsapplikationer på Google Play. Likheterna i appens webbplatsdesign bekräftade att de troligen utvecklats av samma grupp människor. Här är listan:
- GHunt
- Herpes Dating
- SugarD
- Casualx
- BBW-datering
- Xpal
- Gay pappa björn
- Cougary
- 3somes
Experterna är säkra på att dessa nio applikationer var inblandade i överträdelsen, men de anser att användare av andra appar av samma utvecklare också kan påverkas.
Konsekvenserna av läckan kan vara fruktansvärda
Den goda nyheten är att uppgifterna inte längre är online. Två dagar efter att de upptäckte den läckande hinken, använde forskarna kontaktformen för en av de drabbade apparna och till deras förvånande fick de ett svar nästan omedelbart. VPNMentors team svarade på begäran om mer information genom att skicka URL till en av databaserna. Trots att utvecklaren beslutade att inte kommunicera vidare med forskarna, drogs all information offline inom 24 timmar. Från och med skrivandet verkar vissa appar också ha tagits bort från Google Play.
Detta är allt bra och bra, men naturligtvis borde utvecklaren inte ha gjort misstag i första hand. Som ni ser, talar vi inte om dina typiska Tinder-konkurrenter. Apparna riktar sig till personer med specifika sexuella preferenser och fetisch som kan stigmatiseras. De som använder dem vill förmodligen inte meddela det offentligt, och de skulle verkligen inte vilja avslöja bilderna och konversationerna de delar med varandra. Om uppgifterna faller i fel händer kan brottslingar läcka bilderna, doxa de drabbade individerna eller utpressa dem. Jobb kan gå förlorade, familjer kan brytas och rykte kunde förstöras.
Att upprätthålla dejting-appar har alltid en högre grad av ansvar. Människor litar på dessa produkter med sina mest intima hemligheter ibland, och vi kan säkert säga att när det gäller Cheng Du New Tech Zones datingapplikationer var deras förtroende misslyckades. Det enda de kan göra nu är att hoppas att, trots resultaten i forskningsdokumentet vi pratade om i första stycket, ingen annan än VPNMentors experter såg de tydliga uppgifterna.