Исследователи безопасности из vpnMentor Ноам Ротем и Ран Локар 24 мая обнаружили в открытом доступе общедоступные S3 buckets Amazon Web Services. Они содержали данные из различных специализированных приложений для знакомств, включая 3Somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating и GHunt. В целом, было обнаружено 845 гигабайт и около 20 млн файлов, которые содержат данные сотен тысяч пользователей из США и других стран.
Общедоступная информация включала откровенные снимки и аудиозаписи. Исследователи обнаружили также скриншоты приватных чатов и квитанции об оплате, которые пользователи дейтинг-приложений отправляли друг другу. Представленные данные иногда включали настоящие имена юзеров, их даты рождения и адреса электронной почты, а также платежную информацию. Они не были никак структурированы, но при желании хакер мог идентифицировать личность отдельного человека, чтобы использовать данные, в том числе, для шантажа и вымогательства.
Вскоре исследователи поняли, что все приложения, допустившие утечку, имели схожую инфраструктуру, а их веб-сайты имели одинаковую разметку. Некоторые указывали в качестве разработчика Cheng Du New Tech Zone, который зарегистрирован в Google Play. Ротем и Локар связались с администрацией 3Somes. Вскоре доступ ко всем S3 был одновременно закрыт. Это косвенно подтверждает теорию о том, что все данные сервисы имеют одного разработчика.
Исследователи отмечают, что данные стали общедоступными не в результате атаки, а именно благодаря небрежному хранению. В этом случае файлы из каждого приложения были сохранены в неправильно настроенной корзине AWS S3 в одной общей учетной записи AWS. Ротем и Локар не знают, получил ли кто-то еще доступ к корзинам раньше, чем они.
AWS и другие облачные провайдеры все чаще добавляют механизмы для многократного предупреждения пользователей о том, если содержимое их корзин может оказаться в публичном доступе. «Это не проблема Amazon», — говорит Локар. — «Организация, которая разработала эти приложения, напортачила с конфигурацией». Исследователи посоветовали компаниям и сервисам, которые пользуются AWS, делать корзины приватными, добавлять протоколы аутентификации и больше уровней защиты, а также следовать рекомендациям по доступу и аутентификации от AWS.
Исследователи отмечают, что изменение пароля учетки в таком случае ничего не даст. В принципе, в данном случае пользователь ничего не может сделать, чтобы предотвратить потенциальную утечку.
В 2019 году проект Pen Test Partners опубликовал результаты исследования одного из популярных приложений по поиску партнёров для группового секса 3fun с базой в полтора миллиона пользователей. Выяснилось, что из-за нарушения обработки персональных данных сервис допускал утечки информации о местоположении пользователей, причем, в режиме реального времени. Также были доступны даты рождения пользователей, их сексуальные предпочтения и данные чата, личные фото. Причем, из-за уязвимости было обнаружено несколько пользователей приложения в государственных учреждениях в разных странах, включая Верховный суд США, Белый дом и резиденцию премьер-министра Великобритании.
См. также:
