天创培训:您身边的信息安全培训专家!
开班计划
2020年6月CISP直播班
主讲老师   张老师、王老师等
开课时间   6月
培训方式   网络课程
授课天次   培训5天+考试半天
上课时间   6月
课程介绍 在线报名
CISP-PTE渗透测试工程师6月周末直播班开班通知
主讲老师   张老师、王老师等
开课时间   6月
培训方式   网络课程
授课天次   培训+考试
上课时间   6月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

845GB关于小众交友应用用户的公开敏感数据在网上曝光

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2020-06-19  关键词:数据曝光,交友应用

漏洞是由于AWS Bucket配置错误造成的。

由Noam Rotem和Ran Locar领导的VpnMentor安全研究团队发现,一个不受保护的在线数据库中包含了至少9个约会和连接应用程序成员的敏感数据。

暴露的数据包括色情图片、私人谈话、录音和其他类型的敏感数据。

研究人员发现,未受保护的AWS(亚马逊网络服务)桶要为这次大规模数据泄露负责,超过2000万份文件(845 GB的数据)被泄露,这些文件包含了数十万约会应用用户的敏感信息。

所有文件都存储在一个共享的AWS bucket中。该数据库于5月24日被发现,并于5月27日获得安全保护。

该团队还发现,所有应用程序的来源都是相同的,其中许多都将成都新区列为谷歌Play上的应用程序开发者。

845GB关于小众交友应用用户的明确敏感数据在网上曝光


数据曝光,交友应用

尽管研究人员声称,可识别的个人信息不是泄露数据的一部分,但网络罪犯可以通过照片和其他信息识别用户。此外,泄露的部分图片是金融交易的截图,可以用来发起各种欺诈计划。

尽管如此,没有证据表明数据被第三方访问,但这足以进行勒索、欺诈或对用户发起病毒攻击。

“有可见面孔的照片、用户姓名、个人和财务数据……都可能被用来揭露一个人。研究人员在他们的博客文章中指出:“黑客可以利用各种应用程序中的图片创建有效的虚假资料,用于猫钓计划,欺骗和滥用粗心的用户。”

这些被曝光的数据属于小众约会应用程序,这些应用程序是为有特殊约会偏好和恋物癖的人开发的,比如酷儿约会或群体性行为。其中一个应用程序主要是为患有疱疹和其他类型的性传播感染的人开发的。

该团队称,这并不是一种数据黑客行为,而是一种“在网上随意存储敏感信息的方式”。

然而,这并不是第一次配置不当的AWS存储桶在网上泄露如此大量的敏感数据。几周前,西班牙热门电子学习平台8belt的AWS数据库泄露了10万多名用户的个人数据。

在另一起事件中,印度新兴的电子支付平台Bharat Interface for Money (BHIM)在AWS S3中泄露了约700万印度人的敏感金融数据。

上个月,巴西化妆品巨头Natura泄露了1.92亿客户的支付数据记录。数据库也托管在一个公开的AWS上。

涉及AWS的灾难不胜枚举……

(来源:HackRead)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000