Oskyddad datatjänstdatabas läcker personuppgifter
En annan exponerad databas på en online-server blev hackad och läckte ut sina personliga uppgifter. Databasen i fråga tillhörde en datingsida som kördes på en Elastisearch-server och var inte lösenordsskyddad. Upptäckten att databasen exponerades gjordes i slutet av augusti 2020 av säkerhetsforskare med vpnMentor.
Efter att säkerhetsforskarna kontaktade databasägarna togs den snabbt ner, men det betyder inte att databasen inte läckt säkert. Det fanns totalt över 880 gigabyte push-meddelandeloggfiler lagrade i den felaktiga databasen . Loggfilerna visade sig innehålla information om 66 miljoner aviseringar som genererats under de senaste fyra dagarna, tillsammans med den personliga informationen från hundratusentals användare.
Datatjänstaggregat som driver databasen lagrade meddelanden från över 70 olika dejtingsajter. Det verkade som att många av anmälningarna var skräppost, med meddelanden som erbjuder män att hitta partners från delar av världen som Asien eller Östeuropa. Såsom systemet var inställt, oroade de nya aviseringarna användarna att en förmodad kvinna hade skickat ett meddelande för att locka människor tillbaka till tjänsten.
Personligt identifierbar användarinformation exponerad
Medan allt detta gjordes med användarnas samtycke är problemet att det var mycket personlig information inblandad. Databasen lagrade inte bara aviseringarna själva utan innehöll också en bit som flaggades som 'felsökningsdata' som innehöll personliga uppgifter om användarna. Den personligt identifierbara informationen i loggarna innehöll namn, e-postmeddelanden, kön samt geolokalisering och IP-adressuppgifter.
För att göra saken värre innehöll strängarna i aviseringarna också länkar och autentiseringsnycklar till användarprofiler, vilket kan ge dåliga skådespelare obegränsad tillgång till profiler utan att ens behöva användarlösenordet. Den som potentiellt har tagit tag i den oskyddade databasen kan ha tillgång till massor av användarinformation, inklusive profiler och tidigare meddelanden som skickats över tjänsten.
Läckage av personlig information, särskilt kopplad till dejtingsajter och tjänster, kan leda till massor av problem för de inblandade, inklusive utpressning och utpressningsförsök.