Китайская компания Nixi Technology, производящая мобильное приложение Boomoji для создания анимированных 3D-аватаров, оставила в открытом доступе персональные данные более 5 млн. пользователей этого приложения по всему миру.
Недавно мы писали на Хабре про то, как утекают данные из шпионских приложений, но к сожалению, не только их разработчики подвержены синдрому «ой, мы кажется забыли выставить права доступа на базу».
В свободном доступе находилось две базы данных Elasticsearch – одна, расположенная в США, предназначалась для хранения данных международных клиентов, а вторая, расположенная в Гонконге, содержала данные китайских пользователей (китайское законодательство требует хранить персональные данные граждан на территории Китая).
Базы данных были свободно доступны как на чтение, так и на запись (включая редактирование и удаление). В них содержалось 5.3 млн. пользователей iOS и Android версий Boomoji.
Помимо данных (имя пользователя, возраст, пол, страна, модель телефона и даже название учебного заведения) непосредственно самих пользователей приложения, в базах данных лежало 125 млн. контактов их адресных книг (копия с телефонов), а также история геопозиционирования для 375 тыс. пользователей.
Разумеется, все данные лежали открытым текстом, без какого-либо шифрования.
Регулярные новости про отдельные случаи утечек данных, оперативно публикуются на канале Утечки информации.
Akuma
Скорее всего это случай «Да ладно, как можно угадать случайный IP? Будет как пароль!»
ashotog Автор
«да ты успокойся, я сто раз так делал!»
Akuma
ТС, назовите статью «Сотое мобильное приложение слило данные своих пользователей!»
aleki
А вы оптимист :D
dimka11
ipv6 угадать сложно.
Akuma
Вы приняты!
g0rd1as
Не, тут хуже — синдром «Да кому на фиг надо нас взламывать?!» :-D
roscomtheend
Угу. Я бы на месте пользователей подумал зачем приложению для аватарок моё учебное заведение (даже во время учёбы, хотя мобильных приложений тогда не было) и доступ к адресной книге. Но у меня и приложения такого нет, как и нужды в нём. Видимо, ЦА не далеко от авторов ушла (или они от неё).
ashotog Автор
Похоже, что сейчас практически любой апп стремится получить доступ к адресной книге, чтобы «порекламировать» себя контактам из нее.
g0rd1as
Ага, меня недавно стало дико бесить приложение «Погода», потом просто проигрыватель видео на телефоне и т.д. — все требуют доступ к управлению звонками и смс, к контактам! И это приложения, которые стояли в телефоне с самого начала! Телефон, правда, Xiaomi…
g0rd1as
Мне сейчас активно рекламируется какая-то очередная соцсеть: в рекламе девочки и мальчики кривляются, голосами смешными говорят всякую чушь… Я до сих пор понять не могу — нафига мне оно?! Существующих соцсетей уже за глаза хватает! Я, кстати, так и не понимаю прикола Snapchat, где на себя можно всякие собачьи уши и носы примерять… Я уж лучше почитаю тот же хабр, например.: З