Tusentals PhotoSquared-användare står inför ett dataintrång
Som en del av er kanske vet nu leder Noam Rotem och Ran Locar ett team av forskare vid VPN Mentor som har till uppgift att skapa ett storskaligt webbkartläggningsprojekt för att avslöja och säkra dåligt skyddade databaser som läcker känslig information. Under de senaste månaderna har de rapporterat ett antal enorma dataöverträdelser och har verkligen visat hur ofta företag inte gör tillräckligt för att skydda användarnas data. Rotem och Locar har medgett att att ta reda på vem som läcker informationen ofta kräver dagar av utredning och mycket hårt arbete. Med deras senaste upptäckt var detta emellertid inte fallet.
Under en hamnsökningssession upptäckte Rotem och Locars team en AWS S3-hink som var allmänt tillgänglig och inte skyddad av ett lösenord. Det innehöll knappt 95 GB data, och namnet på dess ägare var tillgängligt i URL: en - PhotoSquared.
Vad är PhotoSquared?
Du har en bättre chans att förstå omfattningen av läckan om du vet vad PhotoSquared gör. Det vill vara ett av 2000-talets svar på fotoutvecklarens butik. Istället för att gå in på en fysisk plats och manuellt överlämna de foton du vill ha i tryckt form använder du helt enkelt mobilappen för att välja dina favoritbilder från din kamerarulle eller sociala medieflöden. En onlinebetalning senare, PhotoSquared skriver ut dina foton på 8 "x 8" -kort och skickar dem tillbaka till din adress. Det låter väldigt bekvämt, och det är förmodligen anledningen till att mer än 100 tusen personer har laddat ner appen från Google Play. Affärsmodellen betyder dock att någon, någonstans, har till uppgift att hantera personliga detaljer och favoritbilder från ett stort antal användare. Tyvärr att någon inte gjorde ett särskilt bra jobb.
En felkonfigurerad S3-hink läcker bilder och personlig information från hundratusentals användare
Storleken på databasen var en ganska bra giveaway vad den innehöll. När de öppnade den hittade Noam Rotem och Ran Locar cirka 1 miljon poster som inkluderade:
- Användarnas bilder förberedda för redigering och utskrift
- Beställ poster och kvitton sparade som PDF-dokument
- Etiketter och fraktinformation
- Användarnas namn
- Hem- och leveransadresser
Det är svårt att säga hur många som drabbas av läckan, men forskarna påpekade att informationen i databasen samlades in mellan november 2016 och januari 2020, vilket är en betydande tidsperiod. Som experterna också noterade är de potentiella återverkningarna ganska skrämmande.
En kombination av privata foton och personlig information (inklusive hemadresser) kan ge en potentiell inbrottstjuv en ganska bra inblick i deras måls liv. Utöver detta kan de läckta detaljerna fungera som en utgångspunkt för ytterligare åkallande och ytterligare kriminell aktivitet.
Rotem och Locar upptäckte den oskyddade hinken den 30 januari och når ut till appens utvecklare den 4 februari. Det tog PhotoSquared tio hela dagar för att säkra databasen, men tack och lov är den nu offline. Det finns inga bevis för att någon missbrukar de utsatta uppgifterna, vilket betyder att vi kan göra lite mer än hoppas att alla har lärt sig sina lektioner.
Händelsen är nästa i en mycket lång rad av dystra påminnelser att även om appar som PhotoSquared ger en hälsosam dos av bekvämlighet och nyhet i våra liv, att använda dem innebär ofta att lita på dem med ganska mycket extremt känslig personlig information. Det här är något vi förmodligen bör ha i åtanke innan vi trycker på Installera-knappen.
Överträdelsen bör också påminna utvecklarna om dessa appar att hantering av data från hundratusentals människor är ett stort ansvar. Enkla felkonfigurationsfel som det som PhotoSquared gjorde bör vara helt oacceptabelt.