由不受保护的数据库暴露的超过4200万个约会应用程序用户记录

Five Dating Apps Expose Millions of User Records

人们认为供应商和服务提供商的工作是保护他们的数据免受黑客攻击。如果我们必须对整个事情特别迂腐和挑剔,我们会说措辞不完全准确。

“保护”数据将需要消除所有可能的破坏方式。对于那些对网络安全感兴趣的人来说,这根本不可能。实际上,负责我们数据的人应该做的是尽可能地让黑客的工作变得困难。一些组织相对擅长这一点。

例如,最近,网络犯罪分子设法突破了新闻聚合器服务Flipboard 的安全性 ,并且他们使用了尚未知数量的登录凭证。因为大多数密码都是安全散列的,然而骗子们无法对它们做任何事情,只是为了安全起见,Flipboard会要求所有用户在登录时重置密码。这就是负责任的服务提供商做到这一点。

在规模的另一端,您有开发人员将人们的信息转储到面向互联网的服务器上,该服务器不受任何保护。在过去的几个月里,研究人员已经发现更多的 是被暴露用户的数据给任何人愿意寻找它的服务器,并于5月25日,SecurityDiscovery.com研究员和记者耶利米福勒发现最新的一个

五个约会应用程序暴露数百万条记录

在发现违规的Elasticsearch安装后不久,Fowler看到了一些提示,表明他正在查看约会应用收集的信息。然而,更多的挖掘,显示数据属于不是一个,而是五个不同的配对服务的用户。名字是:

  • Cougardating
  • Christiansfinder
  • Mingler
  • Fwbs
  • TS

奇怪的是,有关上述应用程序的可用信息表明它们是由完全不同的实体开发和分发的,然而,它们似乎将用户的数据存储在同一个数据库中。

很难说它们是否都是由同一个人开发的,但毫无疑问的是,无论谁对它们负责,似乎都没有表现出对保护泄漏数据库的任何兴趣。事实上,他们似乎根本没有兴趣联系。

中国人的联系

该数据库托管在美国的服务器上,大多数信息在其中的人都是美国人. 然而,当Fowler查看应用程序网站的Whois记录时,他发现他们可能来自中国。不幸的是,这并没有使他更接近与开发人员取得联系并帮助他们保护人们的数据。

某些域名受到隐私保护,这意味着没有关于所有者的公开联系信息。与其他人一样,数据是虚假的,其中一个应用程序的地址与该域名相关联,后者原来是中国兰州市的一个地铁站。在意识到他不太可能与任何可以获得暴露数据的人取得联系之后,福勒决定公开分享这些信息,并警告可能不会怀疑某事情的应用程序用户。他们确实需要警惕。

现在是时候开始了解您的用户名的重要性了

该数据库共暴露了4250万条用户记录,Jeremiah Fowler指出其中没有一条包含“PII”。 “PII”代表个人身份信息,多年来,专家们一直在争论这个术语的含义。不难看出原因。

例如,Elasticsearch数据库Fowler发现,它不包含真实姓名,密码,真实地址或任何其他特别具有启发性的信息。在其中,您只能找到IP地址,年龄,位置和用户名。就他的报告而言,那里甚至没有任何电子邮件,这可能会促使一些人松一口气。

然而,正如福勒指出的那样,事情并不那么简单。许多人使用昵称来隐藏他们的真实身份。昵称和密码一样 ,可以重复使用,有时,它们会被用在拥有大量个人信息的网站上。在谷歌的帮助和使用来自不安全数据库的一些用户名的情况下,福勒设法将记录与现实世界的身份联系起来,并且因为他也有受影响用户的地理位置,他毫不怀疑他的短暂研究取得了真正的成果。

从这一单一数据曝光中可以学到至少两课。第一个是,如果您正在考虑安装一个很少有人听说过的应用程序,那么您应该花些时间事先做一些研究,如果您觉得开发人员没有分享太多信息,你应该三思而后行,是否真的需要它。故事的第二个道理是,特别是如果您计划使用不希望其他人了解的服务,您必须确保您的用户名(如密码)不会再回来困扰您。

July 16, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
10 + 6是什么?