SOS :: Security Operation Space
16 декабря, суббота, 00:00
Hot News:

Данные 31 миллиона пользователей AI.type скомпрометированы

06 декабря 2017 г., среда, 18:39

Из-за ошибки в конфигурации MongoDB данные приложения-клавиатуры AI.type утекли в открытый доступ.

Исследователь из компании Kromtech Security Center сообщил о масштабной утечке пользовательских данных в приложении AI.type — популярной виртуальной клавиатуре для Android, которой пользуются около 40 миллионов человек по всему миру. Из-за отсутствия пароля на сервере, где хранились базы данных приложения, 577 Гбайт конфиденциальной информации оказались в открытом доступе, в то время как исследователь безуспешно пытался связаться с разработчиками.

Приложение AI.type распространяется по модели freemium, и бесплатная версия собирает гораздо больше персональных данных, чем платная. Так, записи, содержащие информацию о пользователях бесплатной версии, более подробны и включают помимо полного имени email-адреса, локации пользователя, IMSI- и IMEI-идентификаторы, сведения о версии Android, а также модели используемого устройства.

Некоторые утекшие данные невероятно детализированы: например, данные о том, какие приложения установлены на устройстве, включая банковские и дейтинговые. Помимо этого, гаджеты ряда пользователей также предоставляли фото владельца, его публичный Google-профиль и телефонный номер наравне с IP-адресом и названием интернет-провайдера.

Исследователи также говорят о незащищенных базах данных, где содержится почти 11 миллионов телефонных номеров и более 374 миллионов email-адресов, которые, вероятно, попали на сервер из записных книжек скомпрометированных пользователей. Пока неясно, зачем приложению-клавиатуре так активно собирать и хранить контактную информацию.

Несмотря на заверения разработчиков о надежности шифрования приватных данных, информация в скомпрометированных базах не была защищена. Более того, одна из таблиц, которую обнаружили исследователи, содержала 8,6 миллионов записей с паролями и поисковыми запросами.

Разработчик, де-факто хранивший сотни гигабайт персональных данных в базе MongoDB без пароля, уже исправил ошибку, но только после нескольких попыток представителей Kromtech связаться с ним, когда утечка уже была обнаружена.

Базы MongoDB оказываются ненадежными не в первый раз — в основном по вине пользующихся ими разработчиков. В 2015 году ИБ-эксперты только поиском по Shodan нашли 35 тысяч хранилищ, не защищенных паролем. Слабой защитой MongoDB пользуются киберпреступники, «угоняющие» базы данных и затем требующие выкуп. Под прицел злоумышленников попадают базы данных, содержащие критические и особо ценных сведения — это провайдеры медицинских услуг, телекоммуникационные компании, посредники в торговле информацией, поставщики электроэнергии.

Инцидент с AI.type наглядно показывает, что пользователи легко расстаются с ценными данными, чтобы воспользоваться уцененным или бесплатным приложением. Многие программы для Android требуют довольно много разрешений доступа: недавно исследователи Йельского университета и французской НКО Exodus Privacy составили список приложений, активно следящих за пользователями, куда вошло 440 программ.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
21:03
19:29
17:19
15:18
20:14
19:45
18:53
17:57
08:19
20:25
18:57
16:54
15:33
15:29
04:18
19:33
19:17
18:58


© 2013—2017 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.018
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.