Online dating app Heyyo heeft dezelfde fout die duizenden bedrijven hebben gemaakt voordat — namelijk, het verlaten van een server die op het internet zonder een wachtwoord.
Deze lekkende server, een Elasticsearch aanleg, blootgesteld aan de persoonlijke gegevens, afbeeldingen, locatiegegevens, telefoonnummers en dating voorkeuren voor bijna 72,000 gebruikers, aangenomen dat de app de hele userbase.
De lekkende server werd gebracht aan ZDNet de aandacht van vorige week door security-onderzoekers van WizCase, die gevraagd ons te helpen bij onderzoek doen naar dit incident. Nadat we gecontroleerd de gegevens die de authenticiteit van door contact op te nemen een aantal van de gebruikers waarvan de telefoonnummers die zijn opgenomen in de database, we hebben bereikt Heyyo om de kennis van het bedrijf van de lek.
De Istanbul-gebaseerde software bedrijf achter de app heeft niet gereageerd op ons onderzoek voor bijna een week, en de lekkende server was alleen genomen vandaag, na ZDNet bereikte gisteren naar Turkije is het Computer Emergency Response Team (CERT).
Gelekte informatie
Gedurende de tijd dat het duurde voor het beveiligen van de server, Heyyo de backend gelekt enkele van de meest gevoelige soort informatie online. De breedte van de gelekte informatie is onthutsend om te zeggen het minst. Behalve voor prive-berichten, alle andere Heyyo gegevens van de gebruiker beschikbaar was op de onderneming Elasticsearch server. Dit omvatte de wil van:
NamesPhone numbersEmail addressesDates van birthGenderHeightProfile foto ‘s en andere imagesFacebook-Id’ s voor gebruikers die gekoppeld profilesInstagram-Id ‘ s voor gebruikers die gekoppeld profilesLongitude en latitudeWho graag een gebruiker profileLiked profilesDisliked profilesSuperliked profilesBlocked profilesDating preferencesRegistration en laatste actieve dateSmartphone details
Afbeelding: ZDNet
De productie server; niet een oude back-up
Tijdens de tijd hebben we gekeken naar de database, het werd ook duidelijk dat de server was een live productie systeem en niet van een oudere server gebruikt voor testen of het opslaan van back-ups.
Het aantal geregistreerde gebruikers steeg van 71,769 te 71,921 in de tijd dat we keken naar de gegevens. We registreerde ook een test account, en we zagen verschijnen op de server binnen enkele seconden.
Afbeelding: ZDNet
De aanwezigheid van deze informatie online beschikbaar is in een database zonder wachtwoord, is een gevaar voor alle app-gebruikers.
Om te laten zien hoe opdringerig de lek kan worden, voerden we een eenvoudige test. We hebben de details van drie willekeurige gebruikers, en in een paar minuten, het gebruik van Google search query ‘ s en eenvoudige OSINT (open-source intelligence) scripts gedownload van GitHub, we gemakkelijk opgespoord en gekoppeld de drie gebruikers hun real-life identiteiten, LinkedIn-profielen, social media accounts, en zelfs berichten op niche internet forums.
Aangezien we praten over een dating website, dit soort informatie kan worden gebruikt voor stalking of afpersen van gebruikers met informatie over hun dating leven en gewoontes. Dit is niet een hypothetische scenario. Deze types van afpersing campagnes zijn gebeurd in het verleden, vooral na de Ashley Madison schending van de beveiliging.
Momenteel is het onduidelijk wanneer een kwaadwillende derde-partijen hebben ook gespot Heyyo de lekkende server naast de WizCase bemanning, dus we weten niet of iemand anders zou kunnen hebben gedownload van al deze informatie. Alleen een onderzoek van Heyyo het personeel kon bevestigen indien deze gegevens is gedaald in de verkeerde handen,en als gebruikers in gevaar.
Heyyo nu voegt zich bij een lange lijst van online dating diensten die verzuimd hebben naar eigen beveiligde servers. De lijst bevat Ashley Madison, Jack d, Grindr, Romeo, Recon, 3Fun, HaveAFling, HaveAnAffair, HookUpDating, en Weelderige.
WizCase heeft ook zijn eigen verslag over de lek, voor aanvullende informatie.
Veiligheid
Lieve netwerk operators, gelieve gebruik te maken van de bestaande tools te lossen beveiliging
Massale golf van account kaapt hits YouTube-makers
Apple gecastreerd ad-blockers in Safari, maar in tegenstelling tot Chrome, gebruikers niet zeggen dat een ding
GDPR een jaar later: De uitdagingen waar organisaties nog steeds het gezicht (ZDNet YouTube)
De beste DIY home security systems 2019 (CNET)
Overheden nog steeds te kampen te kampen met bewapende sociale media platforms (TechRepublic)
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters