约会应用程序公开了845 GB的露骨照片、聊天等

2020-06-17 04:05:43

数据在网上曝光是令人痛苦的普遍现象。但是,仅仅因为它发生得如此频繁,并不能降低它的危险性。尤其是当这些数据来自一系列迎合特定群体和兴趣的约会应用程序时。

5月24日,安全研究人员诺姆·罗特姆(Noam Rotem)和朗·洛卡(Ran Locar)在扫描开放的互联网时,偶然发现了一系列公开可访问的亚马逊网络服务(Amazon Web Services)。每个桶都包含来自不同专业约会应用的大量数据,其中包括3Somees、Cougary、Gay爹爹Bear、Xpal、BBW约会、Casualx、SugarD、疱疹约会和Ghut。研究人员总共发现了845G字节和近250万条记录,很可能代表着来自数十万用户的数据。他们今天将在vpnMentor上发表他们的发现。

这些信息特别敏感,包括露骨的性照片和录音。研究人员还发现了来自其他平台的私人聊天截图和支付收据,作为他们正在建立的关系的一部分,在应用程序内的用户之间发送。尽管暴露的数据包括有限的个人身份识别信息,如真实姓名、生日或电子邮件地址,但研究人员警告称,有动机的黑客可能会利用这些照片和其他可用的杂项信息来识别许多用户。这些数据可能实际上没有被攻破,但潜在的可能性是存在的。

洛卡说:我们对这些数据的大小和敏感性感到惊讶。与这种事情一起存在的戒毒风险是非常真实的-敲诈,心理虐待。作为这些应用程序的用户,你不会期望该应用程序之外的其他人能够查看和下载数据。";

当研究人员追踪暴露的S3存储桶时,他们意识到所有的应用程序似乎都来自同一个来源。他们的基础设施相当统一,所有应用程序的网站都有相同的布局,许多应用程序都作为Google Play上的开发者列出了成都新技术专区。5月26日,也就是最初发现两天后,研究人员联系了3ome。第二天,他们得到了简短的回复,所有的水桶都同时被封锁了。

“连线”联系了3Some和疱疹约会网站,试图联系成都高新区,但没有收到回复。

这不是黑客攻击;这是草率存储的数据。研究人员不知道是否有人比他们更早发现了暴露的宝藏。这一直是数据暴露问题的症结所在:错误地让数据可访问,充其量是一个无关紧要的错误,但在最坏的情况下,可能会给黑客带来数据泄露的小菜一碟。特别是在这类约会应用的情况下,如果信息在开发者锁定之前被窃取,可能会对用户安全产生真正的影响。如此多的入侵包含电子邮件地址和密码等数据,这已经足够糟糕了。但是,当数据从Ashley Madison、Grindr或CAM4等网站泄露时,就有可能发生吸毒、敲诈勒索和其他可怕的在线滥用行为。在这种情况下,疱疹日期测定甚至可以潜在地揭示某人的健康状况。

它太难导航了。我们在多大程度上信任应用程序,才能放心地把这些敏感数据--性病信息、视频--放在上面。尼娜·艾丽(Nina Alli)说,她是Defcon生物黑客村的执行董事,也是生物医学安全研究员。这对了解某人的性健康状况是一种有害的方式。这不是什么让人羞愧的事,而是耻辱,因为它更容易对别人的嗜好嗤之以鼻。当涉及到性病状态时,这些数据的公开将意味着其他人不会想要接受检测。这是这种情况的一大危险。

AWS和其他云提供商越来越多地增加了机制,以便在用户的存储桶配置为可公开访问时重复警告用户。这个问题在整个安全行业都是众所周知的。但仍有数不清的错误导致曝光。

Locar说,这不是亚马逊的问题。开发这些应用程序的组织搞砸了配置。这对用户来说是危险的。一些大学里的孩子不应该担心应用程序之外的人会发现他们穿着大学衬衫的照片,然后把它们放在一起。

如果你在那里使用一个受影响的应用程序,你就不能做太多的事情来防止数据在研究人员发现之前被窃取的可能性。在暴露的数据中没有特定的密码宝藏,所以更改密码可能起不了多大作用。不过,现在仍然是确保您的帐户上有一个强大的、唯一的密码的好时机。希望开发人员在任何人获取信息之前锁定云基础设施,但是如果您的数据开始泄露,请不要惊慌。如果你喝醉了,这里有几种方法可以帮助你管理后果。

不能出去抗议吗?以下是如何在家中提供帮助的方法。

👁大脑是人工智能的有用模型吗?另外:获取最新的人工智能新闻。

🎧事情听起来不太对劲?查看我们最喜欢的无线耳机、音棒和蓝牙扬声器