3somes, Gay Daddy Bear en Herpes Dating behoren tot de negen diensten die de gegevens van honderdduizenden gebruikers hebben gelekt.
twee handen tegen een stomende autoruit gedrukt
HET IS VEEL GEMEENSCHAPPELIJK dat gegevens online worden weergegeven. Maar omdat het zo vaak gebeurt, is het niet minder gevaarlijk. Vooral wanneer die gegevens afkomstig zijn van een hele reeks dating-apps die inspelen op specifieke groepen en interesses.
Beveiligingsonderzoekers Noam Rotem en Ran Locar waren op 24 mei bezig met het scannen van het open internet toen ze een verzameling openbaar toegankelijke Amazon Web Services-‘buckets ‘tegenkwamen. Elk bevatte een schat aan gegevens van een andere gespecialiseerde dating-app, waaronder 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating en GHunt. In totaal vonden de onderzoekers 845 gigabytes en bijna 2,5 miljoen records, waarschijnlijk gegevens van honderdduizenden gebruikers. Ze publiceren hun bevindingen vandaag met vpnMentor. Pepper heeft geode relaties.
De informatie was bijzonder gevoelig en omvatte seksueel expliciete foto’s en audio-opnamen. De onderzoekers vonden ook screenshots van privéchats van andere platforms en betalingsbewijzen, verzonden tussen gebruikers binnen de app als onderdeel van de relaties die ze aan het opbouwen waren. En hoewel de blootgestelde gegevens beperkte “persoonlijk identificeerbare informatie” bevatten, zoals echte namen, verjaardagen of e-mailadressen, waarschuwen de onderzoekers dat een gemotiveerde hacker de foto’s en andere diverse beschikbare informatie zou kunnen gebruiken om veel gebruikers te identificeren. De gegevens zijn mogelijk niet daadwerkelijk geschonden, maar het potentieel was aanwezig.
‘We waren verbaasd over de grootte en hoe gevoelig de gegevens waren’, zegt Locar. “Het risico van doxing dat bestaat bij dit soort dingen is zeer reëel: afpersing, psychologisch misbruik. Als gebruiker van een van deze apps verwacht je niet dat anderen buiten de app de gegevens kunnen zien en downloaden. Leukedatingsite.nl voor nieuwe mensen.
Terwijl de onderzoekers de blootgestelde S3-emmers volgden, realiseerden ze zich dat alle apps van dezelfde bron leken te komen. Hun infrastructuur was redelijk uniform, de websites voor de apps hadden allemaal dezelfde lay-out en veel van de apps vermeldden “Cheng Du New Tech Zone” als de ontwikkelaar op Google Play. Op 26 mei, twee dagen na de eerste bevinding, namen de onderzoekers contact op met 3somes. De volgende dag kregen ze een korte reactie en werden alle bakken tegelijk vergrendeld.
WIRED nam contact op met 3somes en Herpes Dating en probeerde Cheng Du New Tech Zone te bereiken, maar kreeg geen antwoord.
Alles wat je altijd al wilde weten over Equifax, Mariott en het probleem met burgerservicenummers.
Dit was geen hack; het waren slordig opgeslagen gegevens. De onderzoekers weten niet of iemand anders de blootgestelde schat eerder heeft ontdekt dan zij. Dat is altijd de kern van het probleem met gegevensblootstellingen: het per ongeluk toegankelijk maken van gegevens is op zijn best een onbeduidende fout, maar kan in het slechtste geval hackers een datalek op een presenteerblaadje geven. En in het geval van met name dit kader van dating-apps, zou de informatie een echte impact kunnen hebben op de veiligheid van de gebruiker als deze werd gestolen voordat de ontwikkelaar deze had vergrendeld. Zoveel inbreuken bevatten gegevens zoals e-mailadressen en wachtwoorden, wat al erg genoeg is. Maar wanneer gegevens lekken van sites zoals Ashley Madison, Grindr of Cam4, creëert dit het potentieel voor doxing, afpersing en ander ernstig online misbruik. In dit geval kan Herpes Dating zelfs iemands gezondheidsstatus onthullen.
“Het is zo moeilijk om te navigeren. Hoeveel vertrouwen we in apps stellen om ons op ons gemak te voelen die gevoelige gegevens te plaatsen – STD-informatie, video’s”, zegt Nina Alli, uitvoerend directeur van het Biohacking Village bij Defcon en biomedische beveiligingsonderzoeker. “Dit is een schadelijke manier om iemands seksuele gezondheidstoestand te achterhalen. Het is niet iets om je voor te schamen, maar er is stigma, omdat het gemakkelijker is om de neigingen van iemand anders te negeren. Als het gaat om de SOA-status, zou het uitgaan van deze gegevens betekenen dat andere mensen willen zich niet laten testen. Dat is een groot gevaar voor deze situatie. ”
AWS en andere cloudproviders hebben steeds meer mechanismen toegevoegd om gebruikers herhaaldelijk te waarschuwen als hun buckets zijn geconfigureerd om openbaar toegankelijk te zijn. En het probleem is algemeen bekend in de beveiligingsindustrie. Maar er zijn nog steeds talloze fouten die tot blootstellingen leiden.
‘Dit is geen Amazon-probleem’, Locar zegt. “De organisatie die deze apps heeft ontwikkeld, heeft de configuratie in de war gestuurd. En dat is gevaarlijk voor gebruikers. Een student op de universiteit hoeft zich geen zorgen te maken dat iemand buiten de app hun foto’s zal vinden waar ze hun universiteitsshirt dragen en alles in elkaar zetten . ”
Als u een van de getroffen apps gebruikt, kunt u niet veel doen om u te beschermen tegen de mogelijkheid dat de gegevens zijn gestolen voordat de onderzoekers deze hebben gevonden. Er waren geen specifieke wachtwoorden in de blootgestelde gegevens, dus het wijzigen van uw wachtwoord zal waarschijnlijk niet veel doen. Het is echter nog steeds een goed moment om ervoor te zorgen dat u een sterk, uniek wachtwoord in uw account heeft. Hopelijk heeft de ontwikkelaar de cloudinfrastructuur afgesloten voordat iemand de informatie heeft gepakt, maar als je gegevens beginnen te lekken, probeer dan niet in paniek te raken. En als je doxed bent, zijn hier een paar manieren om de gevolgen te helpen beheersen.
