数以千计的PhotoSquared用户正面临数据泄露
就像您现在所知道的那样,Noam Rotem和Ran Locar领导了VPN Mentor的研究团队,该团队的任务是进行大规模的网络映射项目,该项目旨在发现和保护泄漏敏感信息的保护不佳的数据库。在过去的几个月中,他们报告了许多大规模的数据泄露事件 ,并真正表明了公司为保护用户数据所做的努力不够频繁。 Rotem和Locar已经承认,找出谁在泄漏信息经常需要几天的调查和大量的工作。然而,根据他们最近的发现,事实并非如此。
在端口扫描会话中,Rotem和Locar的团队发现了一个可公开访问且不受密码保护的AWS S3存储桶 。它保存了将近95GB的数据,其所有者的名称可以在URL – PhotoSquared中找到。
什么是PhotoSquared?
如果您知道PhotoSquared的功能,则您更有机会了解泄漏的范围。它希望成为21世纪照片开发商商店的答案之一。您无需进入实际位置并手动移交所需的打印形式的照片,只需使用移动应用程序即可从相机胶卷或社交媒体源中选择自己喜欢的快照。稍后通过在线付款,PhotoSquared将您的照片打印在8“ x 8”板上,并将其发布回您的地址。听起来非常方便,这可能就是为什么有十万多人从Google Play下载该应用程序的原因。但是,该业务模型确实意味着某人在某处的任务是处理大量用户的个人详细信息和喜欢的图片。可悲的是,有人做得不好。
错误配置的S3存储桶会泄漏数十万用户的照片和个人信息
数据库的大小对于包含的内容来说是一个很好的选择。当他们打开唱片时,Noam Rotem和Ran Locar发现了大约100万条记录,其中包括:
- 用户的照片准备好进行编辑和打印
- 订单记录和收据另存为PDF文档
- 标签和运输信息
- 用户名
- 送货地址
很难说有多少人受到泄漏的影响,但研究人员指出,数据库中的信息是在2016年11月至2020年1月之间收集的,这是一个很长的时间跨度。正如专家们还指出的那样,潜在的影响是相当可怕的。
私人照片和个人信息(包括家庭住址)的结合可以使潜在的小偷对他们的目标生活有一个很好的洞察力。除此之外,泄漏的细节还可以作为进一步侦察和进一步犯罪活动的起点。
Rotem和Locar于1月30日发现了不受保护的存储桶,并于2月4日与该应用程序的开发人员联系。PhotoSquared用了整整十天的时间来保护数据库,但幸运的是,它现在已脱机。没有证据表明有人在滥用公开的数据,这意味着我们除了希望每个人都可以汲取教训外,只能做些其他事情。
该事件是很长一段严峻的提醒中的下一个事件,尽管尽管诸如PhotoSquared之类的应用程序为我们的生活带来了健康,方便和新颖的感觉,但使用它们通常意味着通过相当多的极其敏感的个人信息来信任它们。在按下“安装”按钮之前,我们可能应该牢记这一点。
违规行为还应该提醒这些应用程序的开发人员,处理数十万人的数据是一项巨大的责任。像一个PhotoSquared这样的简单错误配置错误应该是完全不能容忍的。
