персональные данные конфиденциальность приложение
Разработчик десятка приложений для знакомств не позаботился о надлежащей защите пользовательских данных.
Исследовательская команда vpnMentor обнаружила утечку данных (фотографий, в том числе эротических, скриншотов личной переписки и транзакций денежных переводов, аудиозаписей и некоторой персонально идентифицируемой информации) пользователей узкоспециализированных приложений для знакомств. Приложения предназначены специально для людей с определенным образом жизни и альтернативными вкусами (представителей ЛГБТ-сообщества, фетишистов и пр.). Одно из приложений даже посвящено людям с заболеваниями, передающимися половым путем.
Утечка затронула следующие сервисы: 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating и пр. У всех приложений один и тот же разработчик, поэтому загруженные в них фото и другие материалы хранятся в одной учетной записи Amazon Web Services (AWS). Как сообщают исследователи, логин и пароль для авторизации в ней являются крайне ненадежными.
Помимо того, что под угрозой оказалась конфиденциальность сотен тысяч пользователей, утечка раскрывает всю инфраструктуру AWS. По подсчетам vpnMentor, из-за ненадежных учетных данных под угрозой компрометации оказались 20 439 462 файла общим объемом 845 ГБ, принадлежащие пользователям в США и других странах.
Файлы пользователей каждого приложения хранились в отдельных хранилищах AWS S3 в одной учетной записи AWS. Хранилища были неправильно сконфигурированы, а их названия соответствовали названиям приложений. Исследователи связались с владельцем только одного из них – 3somes. Владельцы быстро отреагировали на сообщение о проблеме, и в тот же день все хранилища были защищены, что подтверждает теорию об одном и том же разработчике.
Источник: