Online dejting app Heyyo har gjort samma misstag som tusentals företag har gjort innan det — det vill säga, det kvar en server som exponeras på internet utan ett lösenord.
Detta läckande server, en Elasticsearch exempel, utsätts den personliga uppgifter, bilder, platsdata, telefonnummer och dating inställningar för nästan 72,000 användare, som tros vara den appen hela userbase.
Läckande server kom till ZDNet uppmärksamhet förra veckan av säkerhet forskare från WizCase, som bad oss att hjälpa till att utreda detta security incident. Efter att vi kontrollerat att de uppgifter äkthet genom att kontakta några av de användare vars telefonnummer som ingår i databasen har vi nått ut till Heyyo att underrätta bolaget om läckan.
Istanbul-baserad programvara företaget bakom appen inte svarar på vår förfrågan för nästan en vecka, och den läckande servern var bara till att ta ner idag, efter ZDNet nått ut i går Turkiets Computer Emergency Response Team (CERT).
Läckt information
Under den tid det tog för oss att säkra server, Heyyo är backend läckt ut några av de mest känsliga typ av information på nätet. Omfattningen av den information som läckt ut är häpnadsväckande, minst sagt. Med undantag för privata meddelanden, alla andra Heyyo user data var tillgängliga på bolagets Elasticsearch server. Detta ingår gillar:
NamesPhone numbersEmail addressesDates av birthGenderHeightProfile bilder och andra imagesFacebook Id för användare som länkat sina profilesInstagram Id för användare som länkat sina profilesLongitude och latitudeWho gillade en användares profileLiked profilesDisliked profilesSuperliked profilesBlocked profilesDating preferencesRegistration och senast aktiv dateSmartphone detaljer
Bild: ZDNet
Produktion server, inte en gammal backup
Under tiden som vi tittade på den databas, det blev också tydligt att servern var en levande produktion system och inte en äldre server som används för tester eller lagring av säkerhetskopior.
Antalet registrerade användare ökade från 71,769 att 71,921 under den tid som vi tittat på data. Vi har också registrerat ett test-konto, och vi såg att den visas på server inom några sekunder.
Bild: ZDNet
Förekomsten av denna information online, som är tillgänglig i en databas utan ett lösenord, som är en fara för alla app-användare.
För att visa hur påträngande läcka kan vara, vi gjorde en enkel test. Vi tog detaljer av tre slumpmässigt användare, och i några minuter, med hjälp av Googles sökfrågor och enkel OSINT (open-source intelligence) – skript som hämtas från GitHub, vi kan lätt spåras ned och kopplas de tre användare i deras verkliga identiteter, LinkedIn-profiler, sociala medier konton, och även de inlägg som görs på nischade forum på internet.
Eftersom vi pratar om en dating hemsida, denna typ av information kan användas för stalking eller pressa användare med information om deras dejting liv och habbits. Detta är inte ett hypotetiskt scenario. Dessa typer av utpressning kampanjer som har hänt i det förflutna, särskilt efter att Ashley Madison dataintrång.
Det är för närvarande oklart om någon illvillig tredje part har också upptäckt Heyyo s läckande server förutom WizCase besättning, så vi vet inte om någon annan kan ha hämtat all denna information. Endast en undersökning från Heyyo personalen kan bekräfta om denna data har fallit i fel händer,och om användarna är i fara.
Heyyo nu ansluter sig till en lång lista av online dating tjänster som har misslyckats med att säkra servrar. Listan inkluderar Ashley Madison, Jack skulle, Grindr, Romeo, Recon, 3Fun, HaveAFling, HaveAnAffair, HookUpDating, och Läckra.
WizCase har också sin egen rapport om läckan, för ytterligare läsning.
Säkerhet
Kära operatörer, vänligen använda befintliga verktyg för att fastställa säkerhet
Massiv våg av konto kapar träffar på YouTube skapare
Apple kastrerad ad blockerare i Safari, men till skillnad från Chrome-användare inte säga en sak
GDPR ett år senare: De utmaningar som organisationer möter fortfarande (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
Regeringar som fortfarande kämpar för att brottas med weaponized sociala medier plattformar (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter