Tin tức và phân tích của tất cả các thiết bị di động

Hàng ngàn người dùng PhotoSquared đang đối mặt với vi phạm dữ liệu

Vi phạm dữ liệu PhotoSquared

Như một số bạn có thể biết bây giờ, Noam Rotem và Ran Locar dẫn đầu một nhóm các nhà nghiên cứu tại VPN Mentor, được giao nhiệm vụ với một dự án lập bản đồ web quy mô lớn được thiết kế để khám phá và bảo mật cơ sở dữ liệu được bảo vệ kém, rò rỉ thông tin nhạy cảm. Trong vài tháng qua, họ đã báo cáo một số vụ vi phạm dữ liệu lớn và thực sự cho thấy mức độ thường xuyên các công ty không làm đủ để bảo vệ dữ liệu của người dùng. Rotem và Locar đã thừa nhận rằng việc tìm ra ai đang rò rỉ thông tin thường đòi hỏi nhiều ngày điều tra và rất nhiều công việc khó khăn. Tuy nhiên, với phát hiện gần đây nhất của họ, đây không phải là trường hợp.

Trong phiên quét cổng, nhóm của Rotem và Locar đã phát hiện ra một thùng AWS S3 được truy cập công khai và không được bảo vệ bằng mật khẩu. Nó chỉ chứa dưới 95GB dữ liệu và tên của chủ sở hữu đã có sẵn trong URL PhotoSquared.

PhotoSquared là gì?

Bạn có cơ hội hiểu rõ hơn về phạm vi rò rỉ nếu bạn biết PhotoSquared làm gì. Nó muốn trở thành một trong những câu trả lời của thế kỷ 21 cho cửa hàng của nhà phát triển ảnh. Thay vì đi vào một vị trí thực tế và bàn giao thủ công những bức ảnh mà bạn muốn ở dạng in, bạn chỉ cần sử dụng ứng dụng di động để chọn ảnh chụp nhanh yêu thích từ cuộn camera hoặc nguồn cấp dữ liệu truyền thông xã hội. Thanh toán trực tuyến sau, PhotoSquared in ảnh của bạn trên 8"x 8"bảng và gửi chúng trở lại địa chỉ của bạn. Nghe có vẻ rất thuận tiện, đó có thể là lý do tại sao hơn 100 nghìn người đã tải xuống ứng dụng từ Google Play. Tuy nhiên, mô hình kinh doanh có nghĩa là ai đó, ở đâu đó, được giao nhiệm vụ xử lý chi tiết cá nhân và hình ảnh yêu thích của một số lượng lớn người dùng. Đáng buồn thay, ai đó đã không làm một công việc rất tốt.

Một thùng S3 bị định cấu hình sai làm rò rỉ ảnh và thông tin cá nhân của hàng trăm ngàn người dùng

Kích thước của cơ sở dữ liệu là một tặng cho khá tốt so với những gì nó chứa. Khi họ mở nó, Noam Rotem và Ran Locar đã tìm thấy 1 triệu hồ sơ bao gồm:

  • Ảnh của người dùng chuẩn bị chỉnh sửa và in
  • Đặt hàng hồ sơ và biên lai được lưu dưới dạng tài liệu PDF
  • Nhãn và thông tin vận chuyển
  • Tên người dùng
  • Địa chỉ nhà và giao hàng
  • Thật khó để nói có bao nhiêu người bị ảnh hưởng bởi rò rỉ, nhưng các nhà nghiên cứu chỉ ra rằng thông tin trong cơ sở dữ liệu được thu thập từ tháng 11 năm 2016 đến tháng 1 năm 2020, đó là một khoảng thời gian đáng kể. Như các chuyên gia cũng lưu ý, hậu quả tiềm tàng là khá đáng sợ.

    Một sự kết hợp của hình ảnh riêng tư và thông tin cá nhân (bao gồm cả địa chỉ nhà) có thể mang đến cho một tên trộm tiềm năng một cái nhìn sâu sắc khá tốt về cuộc sống của mục tiêu của chúng. Ngoài ra, các chi tiết bị rò rỉ có thể đóng vai trò là điểm khởi đầu cho hoạt động trinh sát bổ sung và hoạt động tội phạm tiếp theo.

    Rotem và Locar đã phát hiện ra thùng không được bảo vệ vào ngày 30 tháng 1 và liên hệ với nhà phát triển ứng dụng vào tháng 2 4. Phải mất mười ngày để PhotoSquared bảo mật cơ sở dữ liệu, nhưng may mắn thay, giờ nó đã ngoại tuyến. Không có bằng chứng về bất cứ ai lạm dụng dữ liệu bị lộ, điều đó có nghĩa là chúng ta có thể làm ít hơn là hy vọng rằng mọi người đã học được bài học của họ.

    Vụ việc tiếp theo là một dòng nhắc nhở nghiệt ngã rằng mặc dù các ứng dụng như PhotoSquared mang lại sự tiện lợi và mới lạ cho cuộc sống của chúng ta, sử dụng chúng thường có nghĩa là tin tưởng chúng với khá nhiều thông tin cá nhân cực kỳ nhạy cảm. Đây là điều có lẽ chúng ta nên ghi nhớ trước khi nhấn nút Cài đặt.

    Việc vi phạm cũng cần nhắc nhở các nhà phát triển các ứng dụng này rằng việc xử lý dữ liệu của hàng trăm nghìn người là một trách nhiệm rất lớn. Các lỗi cấu hình sai đơn giản như một PhotoSquared đã thực hiện nên hoàn toàn không thể chịu đựng được.