9种不同的约会应用程序泄露了超过2000万个文件
为了证明不安全的数据库可能有多么危险,一群研究人员最近在Elasticsearch安装中填充了伪数据,故意对其进行了错误配置,并等待着黑客寻找它并开始抓取信息需要花费多长时间。数据库联机后八小时内就见证了第一次攻击 ,在接下来的十天内,平均每天访问蜜罐18次。对于一些利基约会应用程序的用户来说,这些结果尤其令人不快,您可能已经猜到,这些应用程序的一些数据存储在安全性较差的数据库中。
至少有九个约会应用在不安全的S3存储桶中公开了明确的用户数据
这是由Noam Rotem和Ran Locar领导的VPNMentor研究人员团队在很长的发现中所做的最新发现。作为其庞大的Web映射项目的一部分,他们于5月24日找到了一个不安全的Amazon Web Services S3存储桶。该数据库总共包含2040万个文件,重845GB。
关于数据库的有趣的事情之一是它公开的个人身份信息是有限的。但是,媒体文件很多,而且我们很确定他们的所有者会希望它们保持私密性。那里有许多露骨的色情照片,上面有面孔,聊天对话的屏幕截图,语音消息以及金融交易的详细信息。
为了保护暴露的用户的隐私,研究人员决定不彻底检查数据,这意味着不可能正确估计受影响的个人的确切人数。 Rotem和Locar在他们的报告中确实说过,涉及数十万甚至可能数百万的用户。
数据被多个约会应用程序泄露。研究人员的调查将他们带到了一家名为“成都新技术区”的公司,该公司在Google Play上多个联播应用程序的联系人部分中列出。应用程序网站设计中的相似之处证实,它们很可能是由同一群人开发的。这是清单:
- unt
- 疱疹约会
- 糖D
- 休闲装
- BBW约会
- Xpal
- 同性恋爸爸熊
- ug
- 3人
专家们确定这9个应用程序都涉及到违规行为,但他们认为同一开发人员使用其他应用程序的用户也可能会受到影响。
泄漏的后果可能令人震惊
好消息是,数据不再在线。发现漏斗的两天后,研究人员使用了其中一个受影响应用程序的联系表,令他们惊讶的是,他们几乎立即收到了答复。 VPNMentor的团队通过发送数据库之一的URL来响应对更多信息的请求。尽管开发人员决定不与研究人员进一步沟通,但所有数据在24小时内都已脱机。在撰写本文时,某些应用似乎也已从Google Play中删除。
这一切都很好,但是不用说,开发人员不应该首先犯错。如您所见,我们并不是在谈论您的典型Tinder竞争对手。该应用程序针对的是可能受到污名化的具有特定性偏爱和迷恋的人。使用它们的人可能不想公开宣布它,并且他们当然也不想公开彼此共享的图片和对话。如果数据落入不正确的人手中,犯罪分子可能会泄漏图像,使受感染的人昏迷或勒索。工作可能会流失,家庭可能会破裂,声誉可能会被破坏。
维护约会应用程序总是要承担更高的责任。人们有时会以最私密的方式信任这些产品,可以肯定地说,对于成都新技术园区的约会应用程序,他们的信任是放错了地方。他们现在唯一能做的就是希望,尽管我们在第一段中讨论了研究论文中的发现,但VPNMentor的专家们没有人看到这些明确的数据。