Китайская компания Nixi Technology, производящая мобильное приложение Boomoji для создания анимированных 3D-аватаров, оставила в открытом доступе персональные данные более 5 млн. пользователей этого приложения по всему миру.
Недавно мы писали на Хабре про то, как утекают данные из шпионских приложений, но к сожалению, не только их разработчики подвержены синдрому «ой, мы кажется забыли выставить права доступа на базу».
В свободном доступе находилось две базы данных Elasticsearch – одна, расположенная в США, предназначалась для хранения данных международных клиентов, а вторая, расположенная в Гонконге, содержала данные китайских пользователей (китайское законодательство требует хранить персональные данные граждан на территории Китая).
Базы данных были свободно доступны как на чтение, так и на запись (включая редактирование и удаление). В них содержалось 5.3 млн. пользователей iOS и Android версий Boomoji.
Помимо данных (имя пользователя, возраст, пол, страна, модель телефона и даже название учебного заведения) непосредственно самих пользователей приложения, в базах данных лежало 125 млн. контактов их адресных книг (копия с телефонов), а также история геопозиционирования для 375 тыс. пользователей.
Разумеется, все данные лежали открытым текстом, без какого-либо шифрования.
Регулярные новости про отдельные случаи утечек данных, оперативно публикуются на канале Утечки информации.