Китайская компания Nixi Technology, производящая мобильное приложение Boomoji для создания анимированных 3D-аватаров, оставила в открытом доступе персональные данные более 5 млн. пользователей этого приложения по всему миру.



Недавно мы писали на Хабре про то, как утекают данные из шпионских приложений, но к сожалению, не только их разработчики подвержены синдрому «ой, мы кажется забыли выставить права доступа на базу».


В свободном доступе находилось две базы данных Elasticsearch – одна, расположенная в США, предназначалась для хранения данных международных клиентов, а вторая, расположенная в Гонконге, содержала данные китайских пользователей (китайское законодательство требует хранить персональные данные граждан на территории Китая).


Базы данных были свободно доступны как на чтение, так и на запись (включая редактирование и удаление). В них содержалось 5.3 млн. пользователей iOS и Android версий Boomoji.


Помимо данных (имя пользователя, возраст, пол, страна, модель телефона и даже название учебного заведения) непосредственно самих пользователей приложения, в базах данных лежало 125 млн. контактов их адресных книг (копия с телефонов), а также история геопозиционирования для 375 тыс. пользователей.


Разумеется, все данные лежали открытым текстом, без какого-либо шифрования.


Регулярные новости про отдельные случаи утечек данных, оперативно публикуются на канале Утечки информации.

Комментарии (11)


  1. Akuma
    19.12.2018 10:47
    +1

    Скорее всего это случай «Да ладно, как можно угадать случайный IP? Будет как пароль!»


    1. ashotog Автор
      19.12.2018 10:49

      «да ты успокойся, я сто раз так делал!»


      1. Akuma
        19.12.2018 10:51

        ТС, назовите статью «Сотое мобильное приложение слило данные своих пользователей!»


        1. aleki
          19.12.2018 11:23

          А вы оптимист :D


    1. dimka11
      19.12.2018 11:25

      ipv6 угадать сложно.


      1. Akuma
        19.12.2018 11:29

        Вы приняты!

        Заголовок спойлера


    1. g0rd1as
      20.12.2018 22:36

      Не, тут хуже — синдром «Да кому на фиг надо нас взламывать?!» :-D


      1. roscomtheend
        20.12.2018 09:32
        +1

        Угу. Я бы на месте пользователей подумал зачем приложению для аватарок моё учебное заведение (даже во время учёбы, хотя мобильных приложений тогда не было) и доступ к адресной книге. Но у меня и приложения такого нет, как и нужды в нём. Видимо, ЦА не далеко от авторов ушла (или они от неё).


        1. ashotog Автор
          20.12.2018 09:36

          Похоже, что сейчас практически любой апп стремится получить доступ к адресной книге, чтобы «порекламировать» себя контактам из нее.


          1. g0rd1as
            20.12.2018 20:38

            Ага, меня недавно стало дико бесить приложение «Погода», потом просто проигрыватель видео на телефоне и т.д. — все требуют доступ к управлению звонками и смс, к контактам! И это приложения, которые стояли в телефоне с самого начала! Телефон, правда, Xiaomi…


        1. g0rd1as
          20.12.2018 20:44

          Мне сейчас активно рекламируется какая-то очередная соцсеть: в рекламе девочки и мальчики кривляются, голосами смешными говорят всякую чушь… Я до сих пор понять не могу — нафига мне оно?! Существующих соцсетей уже за глаза хватает! Я, кстати, так и не понимаю прикола Snapchat, где на себя можно всякие собачьи уши и носы примерять… Я уж лучше почитаю тот же хабр, например.: З