Скольких бы проблем удалось избежать людям, если бы они придерживались простейших правил цифровой гигиены: не открывали подозрительные ссылки (особенно присланные незнакомцами), не использовали слишком простые пароли вроде «123456», не посещали сомнительные сайты, не использовали нешифрованные каналы Wi-Fi и так далее. Но если от рядовых пользователей требовать такого сложно, то от разработчиков популярных программ по умолчанию ожидаешь использования хотя бы простейших методов безопасности. Но, оказывается, чужой негативный опыт не всегда способен помочь избежать ошибок.
По крайней мере, специалисты по безопасности The Kromtech Security Center обнаружили попавшую в общий доступ огромную базу данных в формате MongoDB, содержащую самые разнообразные сведения о более чем 31 млн пользователей виртуальной клавиатуры Ai.Type для смартфонов и планшетов Android и iOS, разрабатываемой начинающей компанией из Тель-Авива.
Ai.Type основана в 2010 году и, по данным официального сайта, их флагманский Android-продукт был скачан около 40 млн раз из магазина Google Play, а количество пользователей неуклонно росло благодаря возможностям широкой персонализации клавиатуры. В следующем году они планировали добавить в приложение поддержку ботов и переименовать клавиатуру в Bots Matching Mobile Keyboard.
Как же случилась утечка? Ai.Type случайно предоставила доступ ко всей своей 577-Гбайт базе данных на хостинге Mongo всем пользователям Интернета. Дело в том, что стандартная настройка в платформе MongoDB позволяет любому желающему получать доступ к базе данных, а в худшем сценарии — даже удалять хранящуюся там информацию.
Самое печальное, что помимо регистрационных данных, разработчики собирали целый ворох потенциально чувствительной информации о пользователях. Например, мошенникам или злоумышленникам могут быть доступны такие сведения о пользователе Ai.Type:
Телефонный номер, полное имя владельца, модель и название устройства, название мобильной сети, SMS-номер, разрешение экрана, используемый в системе язык, версия Android, номер IMSI (международный
В рамках утечки в Сеть также попали 6,5 миллионов записей, содержащих информацию из адресных книг пользователей, хранящихся в аккаунтах Google (занесённые имена со связанными номерами телефонов и иной информацией) — всего сведения о свыше 373 миллионах номеров. Ещё в папке «старая база данных» содержится информация 753 456 человек.
Разумеется, потенциально злоумышленники могут извлечь выгоду и из массы других данных этой огромной базы. Например, оценить самые популярные поисковые запросы по регионам, стандартные сообщения, количество слов на сообщения, средний возраст пользователей и так далее — всё это может быть использовано для более персонализированных схем мошенничества.
Столь масштабная утечка снова во весь рост ставит вопрос: действительно ли пользователям стоит передавать столь широкие личные данные разработчикам в обмен на бесплатные или недорогие продукты, получающие полный доступ к их устройствам и далеко не всегда надёжно защищённые. А компаниям, которые занимаются сбором и хранением такой широкой информации, снова и снова нужно подумать о методах безопасности и контроля, минимизирующих возможность утечки.
Источник: 3DNews