數以千計的PhotoSquared用戶正面臨數據洩露
就像您現在所知道的那樣,Noam Rotem和Ran Locar領導了VPN Mentor的研究團隊,該團隊的任務是進行大規模的網絡映射項目,該項目旨在發現並保護洩漏敏感信息的保護欠佳的數據庫。在過去的幾個月中,他們報告了許多大規模的數據洩露事件 ,並且確實表明了公司為保護用戶數據所做的努力不夠頻繁。 Rotem和Locar已經承認,找出誰在洩漏信息經常需要幾天的調查和大量的工作。然而,根據他們最近的發現,事實並非如此。
在端口掃描會話中,Rotem和Locar的團隊發現了一個可公開訪問且不受密碼保護的AWS S3存儲桶 。它保存了將近95GB的數據,其所有者的名稱可以在URL – PhotoSquared中找到。
什麼是PhotoSquared?
如果您知道PhotoSquared的功能,則您更有機會了解洩漏的範圍。它希望成為21世紀照片開發商商店的答案之一。您無需進入實際位置並手動移交所需的打印形式的照片,只需使用移動應用程序即可從相機膠卷或社交媒體源中選擇自己喜歡的快照。稍後通過在線付款,PhotoSquared將您的照片打印在8“ x 8”板上,並將其發布回您的地址。聽起來非常方便,這可能就是為什麼有十萬多人從Google Play下載該應用程序的原因。但是,該業務模型確實意味著某人在某處的任務是處理大量用戶的個人詳細信息和喜歡的圖片。可悲的是,有人做得不好。
錯誤配置的S3存儲桶會洩漏數十萬用戶的照片和個人信息
數據庫的大小對於包含的內容來說是一個很好的選擇。當他們打開唱片時,Noam Rotem和Ran Locar發現了大約100萬條記錄,其中包括:
- 用戶的照片準備好進行編輯和打印
- 訂單記錄和收據另存為PDF文檔
- 標籤和運輸信息
- 用戶名
- 送貨地址
很難說有多少人受到洩漏的影響,但研究人員指出,數據庫中的信息是在2016年11月至2020年1月之間收集的,這是一個很長的時間跨度。正如專家們還指出的那樣,潛在的影響是相當可怕的。
私人照片和個人信息(包括家庭住址)的結合可以使潛在的小偷對目標者的生活有很好的洞察力。除此之外,洩漏的細節還可以作為進一步偵察和進一步犯罪活動的起點。
Rotem和Locar於1月30日發現了不受保護的存儲桶,並於2月4日與該應用程序的開發人員聯繫。PhotoSquared用了整整十天的時間來保護數據庫,但幸運的是,它現在已脫機。沒有證據表明有人在濫用公開的數據,這意味著我們除了希望每個人都可以汲取教訓外,只能做些其他事情。
該事件是很長一段嚴峻的提醒中的下一個事件,儘管儘管諸如PhotoSquared之類的應用程序為我們的生活帶來了健康,方便和新穎的感覺,但使用它們通常意味著通過相當多的極其敏感的個人信息來信任它們。在按下“安裝”按鈕之前,我們可能應該牢記這一點。
違規行為還應該提醒這些應用程序的開發人員,處理數十萬人的數據是一項巨大的責任。像一個PhotoSquared這樣的簡單錯誤配置錯誤應該是完全不能容忍的。
