Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Из-за ошибки в конфигурации MongoDB данные приложения-клавиатуры AI.type утекли в открытый доступ.
Исследователь из компании Kromtech Security Center сообщил о масштабной утечке пользовательских данных в приложении AI.type — популярной виртуальной клавиатуре для Android, которой пользуются около 40 миллионов человек по всему миру. Из-за отсутствия пароля на сервере, где хранились базы данных приложения, 577 Гбайт конфиденциальной информации оказались в открытом доступе, в то время как исследователь безуспешно пытался связаться с разработчиками.
Приложение AI.type распространяется по модели freemium, и бесплатная версия собирает гораздо больше персональных данных, чем платная. Так, записи, содержащие информацию о пользователях бесплатной версии, более подробны и включают помимо полного имени email-адреса, локации пользователя, IMSI- и IMEI-идентификаторы, сведения о версии Android, а также модели используемого устройства.
Некоторые утекшие данные невероятно детализированы: например, данные о том, какие приложения установлены на устройстве, включая банковские и дейтинговые. Помимо этого, гаджеты ряда пользователей также предоставляли фото владельца, его публичный Google-профиль и телефонный номер наравне с IP-адресом и названием интернет-провайдера.
Исследователи также говорят о незащищенных базах данных, где содержится почти 11 миллионов телефонных номеров и более 374 миллионов email-адресов, которые, вероятно, попали на сервер из записных книжек скомпрометированных пользователей. Пока неясно, зачем приложению-клавиатуре так активно собирать и хранить контактную информацию.
Несмотря на заверения разработчиков о надежности шифрования приватных данных, информация в скомпрометированных базах не была защищена. Более того, одна из таблиц, которую обнаружили исследователи, содержала 8,6 миллионов записей с паролями и поисковыми запросами.
Разработчик, де-факто хранивший сотни гигабайт персональных данных в базе MongoDB без пароля, уже исправил ошибку, но только после нескольких попыток представителей Kromtech связаться с ним, когда утечка уже была обнаружена.
Базы MongoDB оказываются ненадежными не в первый раз — в основном по вине пользующихся ими разработчиков. В 2015 году ИБ-эксперты только поиском по Shodan нашли 35 тысяч хранилищ, не защищенных паролем. Слабой защитой MongoDB пользуются киберпреступники, «угоняющие» базы данных и затем требующие выкуп. Под прицел злоумышленников попадают базы данных, содержащие критические и особо ценных сведения — это провайдеры медицинских услуг, телекоммуникационные компании, посредники в торговле информацией, поставщики электроэнергии.
Инцидент с AI.type наглядно показывает, что пользователи легко расстаются с ценными данными, чтобы воспользоваться уцененным или бесплатным приложением. Многие программы для Android требуют довольно много разрешений доступа: недавно исследователи Йельского университета и французской НКО Exodus Privacy составили список приложений, активно следящих за пользователями, куда вошло 440 программ.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |