Aplicativos de encontros vazam 845GB: fotos, textos, áudios

São aplicativos alternativos, incluindo um dedicado a pessoas com DSTs, que estavam em buckets S3 mal configurados
Da Redação
15/06/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O time de segurança da VPNmentor, um portal dedicado à avaliação de VPNs e de outros produtos de privacidade online, comunicou hoje ter encontrado 845 gigabytes expostos em buckets S3 da Amazon, contendo dados de centenas de milhares de usuários de aplicativos de encontros. São aplicativos destinados a pessoas com estilos de vida alternativos e gostos específicos, incluindo um dedicado a pessoas com DSTs, como o herpes. Os pesquisadores da VPNmentor acreditam que os aplicativos foram feitos por um só desenvolvedor. Provavelmente por causa disso, todos os dados de todos os usuários estão armazenados em uma única conta Amazon Web Services (AWS).

Além de expor potencialmente milhões de usuários, a violação também expôs toda a infraestrutura dos aplicativos por meio de credenciais e senhas de administrador inseguras – houve um total de 20.439.462 arquivos expostos. Os principais apps são 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD e Herpes Dating, mas há outros cujos nomes não foram revelados pelos pesquisadores.

Veja isso
Backup ‘mais seguro do mundo’ expõe 135 milhões de registros
Expostos dados de toda a população do Equador

As informações expostas incluem fotos e gravações de áudio sexualmente explícitas. Há também capturas de tela de chats de outras plataformas e recibos de pagamentos, trocados entre usuários dentro dos aplicativos. Embora os dados expostos incluíssem “informações de identificação pessoal” limitadas, como os nomes verdadeiros, aniversários e endereços de e-mail, os pesquisadores acham que um hacker poderia ter usado as fotos e outras informações para identificar muita gente.

A descoberta dos buckets S3 aconteceu no dia 24 de maio passado. Dois dias depois a VPNmentor entrou em contato com o 3somes e no dia seguinte recebeu uma resposta. A 3somes pediu detalhes adicionais sobre a violação. Diz o relato da VPNmentor: “Respondemos fornecendo o URL do armazenamento mal configurado e mencionamos que outros pertencentes a suas aparentes empresas irmãs também estavam abertos (sem dizer quais). Embora não tenhamos recebido mais nenhuma comunicação, no mesmo dia todos os buckets – pertencentes a todos os outros aplicativos – também foram protegidos, confirmando nossa suposição sobre o desenvolvedor”.

A AWS e outros provedores de nuvem adicionam cada vez mais mecanismos para alertar os usuários quando seus buckets estão acessíveis ao público – um problema bem conhecido em todo o setor de segurança. Mas ainda existem inúmeros erros que levam a exposições. Ran Locar, um dos pesquisadores que fez a descoberta, diz que esse problema não causado pela Amazon: “A organização que desenvolveu esses aplicativos alterou a configuração. E isso é perigoso para os usuários”. Alguns alunos da faculdade não devem se preocupar que alguém de fora do aplicativo encontre suas fotos onde estão vestindo sua camisa da faculdade e monte tudo junto. .

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório