由不受保護的數據庫暴露的超過4200萬個約會應用程序用戶記錄

Five Dating Apps Expose Millions of User Records

人們認為供應商和服務提供商的工作是保護他們的數據免受黑客攻擊。如果我們必須對整個事情特別迂腐和挑剔,我們會說措辭不完全準確。

“保護”數據將需要消除所有可能的破壞方式。對於那些對網絡安全感興趣的人來說,這根本不可能。實際上,負責我們數據的人應該做的是盡可能地讓黑客的工作變得困難。一些組織相對擅長這一點。

例如,最近,網絡犯罪分子設法突破了新聞聚合器服務Flipboard 的安全性 ,並且他們使用了尚未知數量的登錄憑證。因為大多數密碼都是安全散列的,然而騙子們無法對它們做任何事情,只是為了安全起見,Flipboard會要求所有用戶在登錄時重置密碼。這就是負責任的服務提供商做到這一點。

在規模的另一端,您有開發人員將人們的信息轉儲到面向互聯網的服務器上,該服務器不受任何保護。在過去的幾個月裡,研究人員已經發現更多的 是被暴露用戶的數據給任何人願意尋找它的服務器,並於5月25日,SecurityDiscovery.com研究員和記者耶利米福勒發現最新的一個

五個約會應用程序暴露數百萬條記錄

在發現違規的Elasticsearch安裝後不久,Fowler看到了一些提示,表明他正在查看約會應用收集的信息。然而,更多的挖掘,顯示數據屬於不是一個,而是五個不同的配對服務的用戶。名字是:

  • Cougardating
  • Christiansfinder
  • Mingler
  • Fwbs
  • TS

奇怪的是,有關上述應用程序的可用信息表明它們是由完全不同的實體開發和分發的,然而,它們似乎將用戶的數據存儲在同一個數據庫中。

很難說它們是否都是由同一個人開發的,但毫無疑問的是,誰對他們負責似乎沒有表現出對保護漏洞數據庫的任何興趣. 事實上,他們似乎根本沒有興趣聯繫。

中國人的聯繫

該數據庫託管在美國的服務器上,大多數信息在其中的人都是美國人。然而,當Fowler查看應用程序網站的Whois記錄時,他發現他們可能來自中國。不幸的是,這並沒有使他更接近與開發人員取得聯繫並幫助他們保護人們的數據。

某些域名受到隱私保護,這意味著沒有關於所有者的公開聯繫信息。與其他人一樣,數據是虛假的,其中一個應用程序的地址與該域名相關聯,後者原來是中國蘭州市的一個地鐵站。在意識到他不太可能與任何可以獲得暴露數據的人取得聯繫之後,福勒決定公開分享這些信息,並警告可能不會懷疑某事情的應用程序用戶。他們確實需要警惕。

現在是時候開始了解您的用戶名的重要性了

該數據庫共暴露了4250萬條用戶記錄,Jeremiah Fowler指出其中沒有一條包含“PII”。 “PII”代表個人身份信息,多年來,專家們一直在爭論這個術語的含義。不難看出原因。

例如,Elasticsearch數據庫Fowler發現,它不包含真實姓名,密碼,真實地址或任何其他特別具有啟發性的信息。在其中,您只能找到IP地址,年齡,位置和用戶名。就他的報告而言,那裡甚至沒有任何電子郵件,這可能會促使一些人鬆一口氣。

然而,正如福勒指出的那樣,事情並不那麼簡單。許多人使用暱稱來隱藏他們的真實身份。暱稱和密碼一樣 ,可以重複使用,有時,它們會被用在擁有大量個人信息的網站上。在谷歌的幫助和使用來自不安全數據庫的一些用戶名的情況下,福勒設法將記錄與現實世界的身份聯繫起來,並且因為他也有受影響用戶的地理位置,他毫不懷疑他的短暫研究取得了真正的成果。

從這一單一數據曝光中可以學到至少兩課。第一個是,如果您正在考慮安裝一個很少有人聽說過的應用程序,那麼您應該花些時間事先做一些研究,如果您覺得開發人員沒有分享太多信息,你應該三思而後行,是否真的需要它。故事的第二個道理是,特別是如果您計劃使用不希望其他人了解的服務,您必須確保您的用戶名(如密碼)不會再回來困擾您。

July 16, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
9 + 6是什麼?