据研究人员称,基督教信仰应用Pray.com已泄露了多达1000万人的私人数据。
该应用程序按订阅提供“每日祈祷和圣经故事,以激发,教育和帮助您入睡”。订阅价格从50美元到120美元不等。它提供许多音频内容,包括乔尔·奥斯丁(Joel Osteen)这样的福音传教士提供的服务,以及克里斯汀·贝尔(Kristin Bell)和詹姆士·厄尔·琼斯(James Earl Jones)等名人声音的宗教录音。
它已被超过100万人下载到Google Play上,在Apple App Store中排名第24。
vpnMentor分析师发现了属于Pray.com的几个开放的,可公共访问的云数据库(在本例中为Amazon Web Services S3存储桶),其中包含190万个文件-大约262 GB的数据。研究人员说,其中大部分是内部信息,但其中一个涉及数据。 80,000个文件包含了数千万人的各种个人身份信息(PII),而不仅仅是Pray.com用户。
这些包括应用程序用户上传的照片(Pray.com的私人“社区”社交网络的个人资料照片和头像),包括未成年人。调查发现,这些文件还包括来自教会的CSV文件,这些教会使用该应用与他们的会众进行交流。这些文件包含教堂参加者的列表,以及每位参加教堂的人的信息,包括姓名,家庭和电子邮件地址,电话号码和婚姻状况。
该应用程序还说,它促进了教堂的捐赠–用户可以通过该应用程序直接捐赠给Pray.com生态系统中的任何教堂。捐赠也连同捐赠金额,捐赠者的PII和Pray.com处理捐赠的费用一起记录在了存储桶中。但是,缺少任何将捐款转发给教堂的记录。
研究人员说:“由Pray.com处理的捐赠清单很长,这将使网络犯罪分子对应用程序用户的财务状况具有宝贵的见解,并有机会与出现在应用程序中的用户联系,查询先前的捐赠。”
最令人讨厌的是,云数据库包含了来自用户的整个电话簿。每当有人加入“社区”社交网络时,该应用都会询问它是否可以邀请朋友加入。如果用户回答“是”,则该应用会从其设备上载用户的整个“电话簿”,其中包含所有联系人和相关信息。
研究人员说,其中许多电话簿包含数百个个人联系人,每个联系人都透露该人的PII数据,包括姓名,电话号码,电子邮件,家庭和公司地址,以及其他详细信息,例如公司名称和家庭联系。一些条目包括私人帐户的登录信息。
vpnMentor本周的分析显示:“将Pray.com的数据存储在这些电话簿文件中的人不是应用程序用户”。 “他们只是那些联系方式已保存在Pray.com用户设备上的人。总体而言,我们认为Pray.com未经他们的直接许可就存储了多达1000万人的私人数据-并且其用户没有意识到他们允许这种情况发生。”
有趣的是,将超过80,000个文件设为私有文件,只有具有适当安全权限的人才能访问。但是,vpnMentor发现,这些文件是通过第二项亚马逊服务公开的,这表明了云配置可能带来的复杂性。
他们解释说:“通过进一步调查,我们了解到Pray.com已保护了一些文件,并将其设置为存储桶中的私有文件以限制访问。” “但是,与此同时,Pray.com已将其S3存储桶与另一项AWS服务-AWS CloudFront内容交付网络(CDN)集成在一起。 Cloudfront允许应用程序开发人员将内容缓存在世界各地由AWS托管的代理服务器上,并且更接近应用程序的用户,而无需从应用程序的服务器加载这些文件。结果,无论CD3桶中的文件有何单独的安全设置,都可以通过CDN间接查看和访问它们。”
他们补充说:“ Pray.com的开发人员不小心创建了一个后门,该后门可以完全访问他们试图保护的所有文件。”
Rapid7云安全实践技术副总裁Chris DeRamus指出,公司需要意识到云的自助服务性质使他们面临更大的风险。
不受保护的S3存储桶和数据库很常见,攻击者继续利用它。实际上,在2018年和2019年因云配置错误而造成的196次违规中,S3存储桶配置错误占了这些违规的16%,”他通过电子邮件说。 “组织应采取适当的安全措施,例如安全自动化,以确保始终保护数据。如果一开始就不考虑风险并解决风险,那么组织将面临罚款,律师费以及最终的生存能力。”
据vpnMentor称,该数据库于10月6日被发现,但尽管多次尝试就此问题与Pray.com联系,但该数据库并未被私有化。研究人员直接联系亚马逊后,联系人文件于11月17日从打开的存储桶中删除。
研究人员说,虽然不知道文件暴露了多长时间,但其中一些数据可以追溯到2016年。
vpnMentor表示:“ Pray.com在不保护其用户数据的同时,还积极地收集其朋友和家人的数据,使数百万人面临各种危险(例如网络钓鱼,身份盗用和帐户接管),” “不应低估对应用程序用户和公众的影响。”