Приватность сотен тысяч пользователей специфических приложений оказалась под угрозой

Вт 16 Июнь 2020 07:53

Исследовательская команда vpnMentor обнаружила утечку данных (фотографий, в том числе эротических, скриншотов личной переписки и транзакций денежных переводов, аудиозаписей и некоторой персонально идентифицируемой информации) пользователей узкоспециализированных приложений для знакомств. Приложения предназначены специально для людей с определенным образом жизни и альтернативными вкусами (представителей ЛГБТ-сообщества, фетишистов и пр.). Одно из приложений даже посвящено людям с заболеваниями, передающимися половым путем.

Утечка затронула следующие сервисы: 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating и пр. У всех приложений один и тот же разработчик, поэтому загруженные в них фото и другие материалы хранятся в одной учетной записи Amazon Web Services (AWS). Как сообщают исследователи, логин и пароль для авторизации в ней являются крайне ненадежными.

Помимо того, что под угрозой оказалась конфиденциальность сотен тысяч пользователей, утечка раскрывает всю инфраструктуру AWS. По подсчетам vpnMentor, из-за ненадежных учетных данных под угрозой компрометации оказались 20 439 462 файла общим объемом 845 ГБ, принадлежащие пользователям в США и других странах.

Файлы пользователей каждого приложения хранились в отдельных хранилищах AWS S3 в одной учетной записи AWS. Хранилища были неправильно сконфигурированы, а их названия соответствовали названиям приложений. Исследователи связались с владельцем только одного из них – 3somes. Владельцы быстро отреагировали на сообщение о проблеме, и в тот же день все хранилища были защищены, что подтверждает теорию об одном и том же разработчике.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 258 дней 14 часов 18 минут 55 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.