В сети были доступны данные пользователей приложений для знакомств. Среди них — фотографии и чаты

    image

    Исследователи безопасности из vpnMentor Ноам Ротем и Ран Локар 24 мая обнаружили в открытом доступе общедоступные S3 buckets Amazon Web Services. Они содержали данные из различных специализированных приложений для знакомств, включая 3Somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating и GHunt. В целом, было обнаружено 845 гигабайт и около 20 млн файлов, которые содержат данные сотен тысяч пользователей из США и других стран.

    Общедоступная информация включала откровенные снимки и аудиозаписи. Исследователи обнаружили также скриншоты приватных чатов и квитанции об оплате, которые пользователи дейтинг-приложений отправляли друг другу. Представленные данные иногда включали настоящие имена юзеров, их даты рождения и адреса электронной почты, а также платежную информацию. Они не были никак структурированы, но при желании хакер мог идентифицировать личность отдельного человека, чтобы использовать данные, в том числе, для шантажа и вымогательства.

    image image

    Вскоре исследователи поняли, что все приложения, допустившие утечку, имели схожую инфраструктуру, а их веб-сайты имели одинаковую разметку. Некоторые указывали в качестве разработчика Cheng Du New Tech Zone, который зарегистрирован в Google Play. Ротем и Локар связались с администрацией 3Somes. Вскоре доступ ко всем S3 был одновременно закрыт. Это косвенно подтверждает теорию о том, что все данные сервисы имеют одного разработчика.

    image image

    Исследователи отмечают, что данные стали общедоступными не в результате атаки, а именно благодаря небрежному хранению. В этом случае файлы из каждого приложения были сохранены в неправильно настроенной корзине AWS S3 в одной общей учетной записи AWS. Ротем и Локар не знают, получил ли кто-то еще доступ к корзинам раньше, чем они.

    AWS и другие облачные провайдеры все чаще добавляют механизмы для многократного предупреждения пользователей о том, если содержимое их корзин может оказаться в публичном доступе. «Это не проблема Amazon», — говорит Локар. — «Организация, которая разработала эти приложения, напортачила с конфигурацией». Исследователи посоветовали компаниям и сервисам, которые пользуются AWS, делать корзины приватными, добавлять протоколы аутентификации и больше уровней защиты, а также следовать рекомендациям по доступу и аутентификации от AWS.

    Исследователи отмечают, что изменение пароля учетки в таком случае ничего не даст. В принципе, в данном случае пользователь ничего не может сделать, чтобы предотвратить потенциальную утечку.

    В 2019 году проект Pen Test Partners опубликовал результаты исследования одного из популярных приложений по поиску партнёров для группового секса 3fun с базой в полтора миллиона пользователей. Выяснилось, что из-за нарушения обработки персональных данных сервис допускал утечки информации о местоположении пользователей, причем, в режиме реального времени. Также были доступны даты рождения пользователей, их сексуальные предпочтения и данные чата, личные фото. Причем, из-за уязвимости было обнаружено несколько пользователей приложения в государственных учреждениях в разных странах, включая Верховный суд США, Белый дом и резиденцию премьер-министра Великобритании.
    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 3

      +6
      Долго соображал что за корзины AWS, пока не перевёл на английский, тогда стало ясно что речь про S3 buckets
        –1
        О! Рана Локара я хорошо знаю. Работали вместе.
          0
          По опыту работы в одной компании могу сказать, что уровень пофигизма при работе с S3 просто зашкаливает. Всем абсолютно все равно на приватность — во-первых, гемор с настройками, а во-вторых, потом при доступе из кода к файлам тоже надо напрягаться с подписанием ссылок. Посему не удивлен. Причем, чем больше компания, тем кажется уровень слежения за качеством кода и приватностью должен быть выше. А на деле получается наоборот.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое