Pe 25 mai, cercetătorii de la vpnMentor au descoperit trei spații de stocare (buckets) Amazon Web Services (AWS) S3 configurate necorespunzător care erau cauza unor scurgeri de informații cu caracter sensibil.
Potrivit unui raport publicat pe 16 iunie, spațiile de stocare S3 conțineau un volum de 845 gigabytes de date, cu peste 20 de milioane de fișiere cu informații cu caracter sensibil din conturile utilizatorilor, inclusiv:
Printre aplicații se numără mai multe platforme de întâlniri online de nișă, cum ar fi 3somes, CougarD, Xpal, SugarD, Ghunt și multe altele. În plus, dincolo de volumul mare de informații cu caracter personal și sensibil ale utilizatorilor, bazele de date configurate necorespunzător au expus și infrastructura aplicațiilor prin date de autentificare și parole nesecurizate.
„Din motive ce țin de etică, nu vizualizăm și nu descărcăm toate fișierele stocate într-o bază de date compromisă sau într-un spațiu de stocare AWS. Prin urmare, este dificil să calculăm câte persoane au fost expuse prin această breșă de securitate a datelor, însă estimăm că este vorba de sute de mii – dacă nu chiar de milioane de oameni,” au declarat cercetătorii. „În calitate de hackeri care țin seama de un cod etic, suntem obligați să informăm o companie atunci când descoperim vulnerabilități în securitatea sa online. Am contactat dezvoltatorii, nu numai pentru a-i înștiința cu privire la vulnerabilitate, ci și pentru a le sugera câteva moduri prin care ar putea crește securitatea sistemelor.”
Este posibil ca scurgerea datelor să aibă efecte devastatoare asupra utilizatorilor. Atacatorii pot profita de potențialul informațiilor cu caracter sensibil pentru diverse forme de exploatare și hărțuire, ceea ce ar putea constitui un nou dezastru AshleyMadison. Peste 30 de milioane de utilizatori au fost expuși în urma breșei de securitate a datelor din 2015 de pe site-ul web pro-adulter, iar încercările de șantaj încă există la aproape 5 ani după ce atacatorii au publicat o bază de date care conținea date cu caracter sensibil ale utilizatorilor.
Odată ajunse în mâinile infractorilor cibernetici, datele pot fi utilizate pentru mult mai mult decât fraude de însușire a unei alte identități. Utilizând diversele informații drept monedă de schimb, șantajiștii pot da startul unei afaceri de succes. Nimeni nu vrea ca secretele sale să apară pe diferite rețele de socializare sau să fie aduse la cunoștința familiei și prietenilor.
„Pentru că breșa de securitate a datelor a expus atât de mulți utilizatori, ar fi nevoie ca atacatorii să convingă doar un număr mic de persoane să le achite răscumpărarea pentru ca șantajul să aibă succes”, au atras atenția cercetătorii. „În acest mod, ar putea distruge relațiile și viețile personale și profesionale ale multor oameni.”
tags