Ako niektorí z vás už možno vedia, Noam Rotem a Ran Locar vedú tím výskumníkov v VPN Mentor, ktorého úlohou je rozsiahly projekt mapovania webu, ktorého cieľom je odhaliť a zabezpečiť zle chránené databázy, ktoré unikajú citlivým informáciám. Za posledných niekoľko mesiacov oznámili množstvo masívnych porušení údajov a skutočne ukázali, ako často spoločnosti nerobia dosť na ochranu údajov používateľov. Rotem a Locar pripustili, že zisťovanie toho, kto informácie prezradil, si často vyžaduje dni vyšetrovania a veľa tvrdej práce. S ich posledným objavom to však tak nebolo.
Počas relácie skenovania portov tím Rotem a Locar objavil vedro AWS S3 ktoré bolo verejne prístupné a nechránené heslom. Držal takmer 95 GB údajov a meno jeho vlastníka bolo dostupné v URL PhotoSquared.
Čo je to PhotoSquared?
Máte lepšiu šancu pochopiť rozsah úniku, ak viete, čo PhotoSquared robí. Chce byť jednou z odpovedí 21. storočia na obchod s fotografiami. Namiesto toho, aby ste šli na fyzické miesto a ručne odovzdali fotografie, ktoré chcete, v tlačenej podobe, jednoducho si pomocou mobilnej aplikácie vyberiete svoje obľúbené snímky z fotoaparátu alebo zo sociálnych médií. Pri online platbe neskôr aplikácia PhotoSquared vytlačí vaše fotografie 8" X 8“a zverejní ich naspäť na vašu adresu. Znie to veľmi pohodlne, čo je pravdepodobne dôvod, prečo si aplikáciu zo služby Google Play stiahlo viac ako 100 000 ľudí. Obchodný model však znamená, že niekto je niekde poverený spracovaním osobné údaje a obľúbené obrázky veľkého počtu používateľov. Je smutné, že niekto nevykonal veľmi dobrú prácu.
Chybne nakonfigurovaná skupina S3 presakuje fotografie a osobné informácie stoviek tisícov používateľov
Veľkosť databázy bola celkom dobrá, pokiaľ ide o to, čo obsahuje. Keď ju otvorili, našli ju Noam Rotem a Ran Locar 1 miliónov záznamov, ktoré obsahovali:
Je ťažké povedať, koľko ľudí je únikom ovplyvnených, ale vedci zdôraznili, že informácie v databáze sa zhromažďovali od novembra 2016 do januára 2020, čo je značné časové obdobie. Ako odborníci tiež poznamenali, potenciálne následky sú dosť desivé.
Kombinácia súkromných fotografií a osobných informácií (vrátane adresy bydliska) by potenciálnemu zlodejovi poskytla dobrý prehľad o živote cieľovej skupiny. Okrem toho môžu únikové údaje slúžiť ako východiskový bod pre ďalšiu prieskumnú a ďalšiu trestnú činnosť.
Rotem a Locar objavili nechránenú vedro 30. januára a oslovili vývojára aplikácie vo februári 4, Zabezpečenie databázy trvalo desať celých dní, ale našťastie je teraz offline. Neexistuje dôkaz o tom, že by niekto zneužíval exponované údaje, čo znamená, že môžeme urobiť niečo viac než len dúfať, že sa všetci poučili.
Incident je ďalší z veľmi dlhého radu ponurých pripomienok, že aj keď aplikácie ako PhotoSquared prinášajú zdravú dávku pohodlia a novosti do našich životov, ich používanie často znamená dôverovať im pomerne veľa mimoriadne citlivých osobných informácií. Toto by sme mali mať na pamäti skôr, ako stlačíme tlačidlo Inštalovať.
Porušenie by malo vývojárom týchto aplikácií tiež pripomenúť, že za spracovanie údajov stoviek tisícov ľudí je nesmierne zodpovedná. Jednoduché chyby v nesprávnej konfigurácii, ako boli chyby PhotoSquared, by mali byť úplne netolerovateľné.
