9種不同的約會應用程序洩露了超過2000萬個文件
為了證明不安全的數據庫可能有多危險,一群研究人員最近在Elasticsearch安裝中填充了偽數據,故意對其進行了錯誤配置,並等待著黑客尋找它並開始抓取信息需要花費多長時間。數據庫聯機後八小時內就見證了第一次攻擊 ,在接下來的十天內,平均每天訪問蜜罐18次。對於一些利基約會應用程序的用戶來說,這些結果尤其令人不快,您可能已經猜到了,這些應用程序的一些數據存儲在安全性較差的數據庫中。
至少有9個約會應用在不安全的S3存儲桶中公開了明確的用戶數據
這是由Noam Rotem和Ran Locar領導的VPNMentor研究人員團隊在很長的發現中所做的最新發現。作為其龐大的Web映射項目的一部分,他們於5月24日找到了一個不安全的Amazon Web Services S3存儲桶。數據庫總共包含2040萬個文件,重845GB。
關於數據庫的有趣的事情之一是它公開的個人身份信息是有限的。但是,媒體文件很多,而且我們很確定他們的所有者會希望它們保持私密性。那裡有許多露骨的色情照片,上面有面孔,聊天對話的屏幕截圖,語音消息以及金融交易的詳細信息。
為了保護暴露的用戶的隱私,研究人員決定不徹底檢查數據,這意味著不可能正確估計受影響的個人的確切人數。 Rotem和Locar在他們的報告中確實說過,涉及數十萬甚至可能數百萬的用戶。
數據被多個約會應用程序洩露。研究人員的調查將他們帶到了一家名為“成都新技術區”的公司,該公司在Google Play上多個聯播應用程序的聯繫人部分中列出。應用程序網站設計中的相似之處證實,它們很可能是由同一群人開發的。這是清單:
- unt
- 皰疹約會
- 糖D
- 休閒裝
- BBW約會
- Xpal
- 同性戀爸爸熊
- ug
- 3人
專家們確定這9個應用程序都涉及到違規行為,但他們認為同一開發人員使用其他應用程序的用戶也可能會受到影響。
洩漏的後果可能令人震驚
好消息是,數據不再在線。發現漏斗的兩天后,研究人員使用了其中一個受影響應用程序的聯繫表,令他們驚訝的是,他們幾乎立即收到了答复。 VPNMentor的團隊通過發送數據庫之一的URL來響應對更多信息的請求。儘管開發人員決定不與研究人員進一步溝通,但所有數據在24小時內都已脫機。在撰寫本文時,某些應用似乎也已從Google Play中刪除。
這一切都很好,但是不用說,開發人員不應該首先犯錯。如您所見,我們並不是在談論您的典型Tinder競爭對手。該應用程序針對的是可能受到污名化的具有特定性偏愛和迷戀的人。使用它們的人可能不想公開宣布它,並且他們當然也不想公開彼此共享的圖片和對話。如果數據落入不正確的人手中,犯罪分子可能會洩漏圖像,使受感染的人昏迷或勒索。工作可能會流失,家庭可能會破裂,聲譽可能會被破壞。
維護約會應用程序總是要承擔更高的責任。人們有時會以最私密的方式信任這些產品,可以肯定地說,對於成都新技術園區的約會應用程序,他們的信任是放錯了地方。他們現在唯一能做的就是希望,儘管我們在第一段中討論了研究論文中的發現,但VPNMentor的專家們沒有人看到這些明確的數據。