Источником очередной утечки данных пользователей стали сразу несколько сервисов знакомств. Исследователи безопасности Ноам Ротем (Noam Rotem) и Ран Локар (Ran Locar) 24 мая сканировали Сеть и наткнулись на коллекцию общедоступных хранилищ коммерческого облака Amazon Web Services (AWS). Она содержала множество данных (845 Гб и около 2,5 миллиона записей) из девяти различных специализированных приложений для знакомств, включая 3Somes, Cougary, Xpal, BBW Dating, Casualx, SugarD и GHunt. Утечка, вероятно, затронула сотни тысяч пользователей.
Опубликованная информация оказалась деликатной и включала откровенные фотографии и аудиозаписи. Исследователи также нашли скриншоты приватных чатов с других платформ и квитанции об оплате, отправленные между пользователями. По их словам, находка содержала ограниченную «личную информацию», такую как настоящие имена, дни рождения или адреса электронной почты, но хакеры могли использовать её для идентификации пользователей и, например, шантажа или публикации данных в открытом доступе со злым умыслом (доксинг).
Мы были поражены размером и деликатностью данных. Риск доксинга, который существует с подобными вещами, очень реален — вымогательство, психологическое насилие. Как пользователь одного из этих приложений вы не ожидаете, что другие за пределами программы смогут видеть и скачивать данные, — говорит Локар.
По мере того как специалисты отслеживали обнаруженные сегменты, они понимали, что все приложения пришли из одного источника. Их инфраструктура была довольно однородной, веб-сайты для приложений имели одинаковое оформление, а в качестве разработчика программ в Google Play была указана Cheng Du New Tech Zone. 26 мая, через два дня после первоначального обнаружения, специалисты связались с 3Somes: там кратко прокомментировали находку, и на следующий день все хранилища были одновременно заблокированы.
Ротем и Локар полагают, что всё дело было не во взломе сервисов злоумышленниками, а в небрежном хранении информации. Смог ли кто-то ещё обнаружить огромный массив данных, исследователи не знают, но предупреждают, что несущественная на первый взгляд ошибка, приведшая к утечке, может обернуться большими проблемами для ничего не подозревающих пользователей. Так, один из сервисов содержал информацию о половом здоровье людей.
Насколько мы доверяем приложениям, чтобы чувствовать себя комфортно при размещении этих конфиденциальных данных — информации о ЗППП, видео... Это не то, за что стоит стыдиться, но это станет клеймом, потому что людям станет легче выражать сильное отвращение чужим склонностям. Когда дело доходит до статуса ЗППП, публикация этих данных будет означать, что другие люди не хотят проходить тестирование. И в этом выражается большая опасность этой ситуации, — рассказала WIRED исполнительный директор Biohacking Village в Defcon и исследователь биомедицинской безопасности Нина Алли (Nina Alli).
AWS и другие облачные провайдеры всё чаще добавляют механизмы для неоднократного предупреждения пользователей о публичном доступе к их хранилищам. Проблема хорошо известна в индустрии безопасности, однако это не мешает появлению бесчисленных ошибок, которые приводят к подобного рода ситуациям. В случае с сервисами знакомств, как заметили исследователи, вина лежит не на Amazon, а на организации, разработавшей приложения и напутавшей настройки. И самое печальное, что при наихудшем сценарии сами пользователи сервисов рискуют узнать об утечке не от разработчиков и специалистов по кибербезопаности, а от злоумышленников, решивших заработать на личной информации жертв.