由於糟糕的數據庫管理,Kinomap是洩漏信息的最新應用程序
在冠狀病毒大流行中生存以及它被強加給我們的封鎖並非易事,但是每個開始嘗試抱怨它的人都不要忘記它可能會更糟。借助技術,現在可以在我們自己的家中舒適地完成許多以前需要出去的事情。像Kinomap這樣的應用程序甚至可以幫助我們保持狀態,而無需離開房屋,這在當前情況下尤其重要。
不幸的是,額外的便利帶來了自己的一系列問題。網絡安全就是其中之一,可悲的是我們對此沒有太多考慮。 vpnMentor的研究人員向我們展示了為什麼我們應該嘗試並更加註意它。
Kinomap在未受保護的數據庫中保留了超過4,200萬條記錄
在Noam Rotem和Ran Locar的帶領下,vpnMentor的研究團隊提出了一個網絡映射項目,該項目可以掃描IP地址塊並查找未正確配置的已連接設備。這項研究已經進行了一段時間,並導致發現和修復了許多數據洩漏。前面提到的Kinomap是落入研究人員視野的最新應用程序。
上個月,他們發現了一個40GB的數據庫,該數據庫不受密碼保護。一眼就讓研究人員知道他們正在查看Kinomap收集的信息,並且經過仔細檢查,他們意識到該信息包含大約4200萬用戶的個人信息。
儘管他們不確定,但vpnMentor的專家認為這可能是Kinomap的整個用戶群。受影響的人遍布世界各地,他們需要格外小心,因為他們的家庭鍛煉應用程序暴露了很多有關他們的信息。在洩漏的細節中,研究人員發現:
- 名字
- Kinomap用戶名
- 電子郵件地址
- 本國
這些記錄還包括有關如何使用該應用程序的遙測信息,以及指向個人帳戶的鏈接。再加上上面的數據,可能使黑客有機會組織一次復雜的網絡釣魚攻擊。
在某些記錄中,專家發現了API密鑰,這使攻擊者可以接管整個帳戶。
Kinomap的開發人員幾乎不是第一個對互聯網數據庫進行錯誤配置的人,而且他們可能不會是最後一個。在這種情況下,重要的是要讓服務提供商和軟件供應商承擔自己的錯誤並嘗試向他們學習。但是,負責Kinomap的人採用了不同的方法。
Kinomap不想對配置錯誤的數據庫發表評論
vpnMentor的專家於3月16日首次發現了Kinomap的配置錯誤的數據庫,幾天后,他們試圖與開發人員聯繫。在不到兩週的時間裡沒有聽到任何消息之後,他們又嘗試在3月30日披露該漏洞。研究人員希望確保有人可以解決該問題,這就是為什麼他們還通知了國家情報和自由委員會( CNIL),這是法國(Kinomap開發商所在的國家)的隱私監管機構。 4月12日,數據庫終於被刪除,研究人員認為這可能是由於CNIL的參與。
當Sophos的Lisa Vaas與Kinomap 聯繫時,該應用程序的開發人員終於做出了回應。該公司表示,在收到漏洞通知後立即修復了該漏洞,正如您所看到的,與安全專家報告的形成鮮明對比。執行歐盟《通用數據保護條例》(GDPR)的機構應決定Kinomap的創作者的反應是否足夠。