Peneliti cybersecurity, Jeremiah Fowler, menemukan dan melaporkan kepada VPNMENTOR tentang database yang tidak dienkripsi dan tidak dilindungi kata sandi yang berisi 3.637.107 catatan yang mungkin termasuk dalam platform pembangunan aplikasi tanpa pengkodean.
Basis data yang diekspos secara publik tidak dilindungi kata sandi atau dienkripsi. Ini berisi 3.637.107 catatan dengan ukuran total 12,2 TB. Dalam contoh terbatas dari dokumen yang diekspos, saya melihat file internal, gambar, dan dokumen spreadsheet (ditandai sebagai “pengguna” dan “faktur”) yang berisi nama, email, alamat fisik, dan perincian tentang pembayaran atau pembayaran tentang apa yang tampak sebagai pengguna dan pembuat aplikasi.
File internal dan nama basis data menunjukkan catatan itu tampaknya milik perusahaan yang berbasis di Texas/ Delaware bernama Passion.io. Perusahaan ini menawarkan platform pembangunan aplikasi tanpa kode yang dirancang untuk pencipta, pelatih, influencer, selebriti, dan pengusaha untuk mengembangkan aplikasi seluler bermerek mereka sendiri tanpa pengetahuan teknis. Platform ini memungkinkan pengguna untuk membuat kursus interaktif dan kemudian mendapatkan pendapatan melalui langganan atau pembayaran satu kali.
Saya segera mengirim pemberitahuan pengungkapan yang bertanggung jawab ke Passion.io, dan database dibatasi dari akses publik dan tidak lagi dapat diakses pada hari yang sama. Saya menerima email pada hari berikutnya mengakui temuan saya dan berterima kasih kepada saya karena telah membawanya ke perhatian mereka. Menurut email, gairah.io “Petugas privasi dan tim teknis sedang berupaya memperbaiki masalah ini, memastikan ini tidak dapat terjadi lagi, dan mengambil semua langkah yang diperlukan oleh situasi. Kami memperlakukan ini dengan sangat serius dan bergerak cepat”.
Meskipun catatan tampaknya milik Passion.io, tidak diketahui apakah database dimiliki dan dikelola langsung oleh mereka atau oleh kontraktor pihak ketiga. Juga tidak diketahui berapa lama database diekspos sebelum saya menemukannya atau jika ada orang lain yang dapat memperoleh akses ke sana. Hanya audit forensik internal yang dapat mengidentifikasi akses tambahan atau aktivitas yang berpotensi mencurigakan.
Menurut situs web mereka, pencipta telah menggunakan platform Passion.io untuk meluncurkan lebih dari 15.000 aplikasi dan memiliki lebih dari 2 juta pengguna aplikasi yang membayar. Platform ini memungkinkan pencipta untuk mendapatkan uang dengan menggabungkan keterampilan, pengetahuan, keahlian, atau produk mereka dengan aplikasi seluler mereka sendiri. Perlu dicatat bahwa database ini tampaknya tidak mengandung semua aplikasi dan data pengguna. Saya tidak melihat konten yang terkait dengan sejumlah besar aplikasi di dalam folder. Namun, saya memang melihat PII pengguna dan gambar yang mungkin tidak dimaksudkan untuk paparan publik.
-
-
Gambar ini adalah kolase tangkapan layar yang menunjukkan gambar profil, beberapa di antaranya termasuk anak -anak.
-
-
Tangkapan layar ini menunjukkan dokumen spreadsheet tunggal yang merinci nama, alamat fisik, email, dan informasi lain dari 92.851 orang.
-
-
Tangkapan layar ini menunjukkan contoh bagaimana folder muncul di dalam database yang terbuka.
Ada risiko potensial yang serius yang terkait dengan file yang terekspos yang berisi PII (seperti nama, email, alamat fisik, nomor ID pelanggan internal) serta layanan yang dibeli dan jumlah pembayaran. Misalnya, informasi ini berpotensi digunakan oleh para penjahat untuk mencoba serangan phishing atau rekayasa sosial. Bahkan, diperkirakan 98% dari semua kejahatan dunia maya dimulai dengan beberapa bentuk rekayasa sosial.
Alamat email yang bocor dan riwayat pembelian dapat memberi para penjahat informasi spesifik yang biasanya hanya diketahui oleh pelanggan dan penyedia layanan. Karena orang lebih cenderung mempercayai perusahaan yang mereka miliki hubungan bisnis, para penjahat sering memilih peniruan. Mereka dapat secara hipotetis menghubungi pelanggan atau pencipta aplikasi yang berpura -pura berafiliasi dengan perusahaan yang bersangkutan dan mencoba untuk mendapatkan informasi pribadi atau keuangan tambahan.
Informasi pribadi yang terbuka dapat dikombinasikan dengan informasi sumber terbuka untuk membuat profil lengkap dari individu itu. Setelah penjahat memiliki profil, mereka dapat menyaring korban potensial, memperbaiki target bernilai tinggi yang mungkin kaya atau memiliki status selebriti atau influencer. Saya tidak mengatakan bahwa pelanggan gairah.io atau penggunanya berisiko rekayasa sosial atau bentuk penipuan lainnya, saya hanya memberikan contoh pendidikan tentang bagaimana jenis data ini secara teoritis dapat dieksploitasi jika itu jatuh di tangan yang salah.
Paparan gambar profil pengguna juga menimbulkan risiko privasi dan keamanan potensial yang serius. Risiko hipotetis terbesar termasuk gambar yang disalahgunakan untuk peniruan, untuk penciptaan akun palsu, atau untuk penipuan online lainnya. Ada banyak aplikasi di mana gambar dapat dimanipulasi melalui AI untuk menghasilkan Deepfake atau konten kasar tanpa persetujuan. Selain itu, alat gambar terbalik bahkan dapat mengidentifikasi individu jika gambar yang sama telah digunakan di tempat lain secara online.
Gambar anak -anak sangat sensitif karena anak -anak tidak dapat menyetujui gambar mereka yang digunakan secara online. Ini mungkin telah diunggah oleh pengguna yang percaya bahwa akun mereka bersifat pribadi dan pribadi dan bahwa gambar -gambar itu tidak akan pernah dilihat oleh siapa pun kecuali diri mereka sendiri. Dalam pengalaman saya sebagai peneliti keamanan, saya telah melihat secara langsung bagaimana bahkan Gambar yang tampaknya tidak berbahaya dapat berpotensi dipersenjatai atau digunakan untuk tujuan yang tidak etis. Saya tidak mengatakan bahwa pengguna gairah.io atau gambar mereka pernah berisiko disalahgunakan, saya hanya memberikan skenario risiko dunia nyata tentang bagaimana gambar berpotensi digunakan atau dieksploitasi tanpa persetujuan atau pengetahuan individu.
Selain data pengguna pribadi, saya juga melihat sejumlah besar file video dan dokumen.pdf. Ini tampaknya menjadi bahan yang dijual oleh pembuat aplikasi sebagai bagian dari konten premium mereka. Jika file -file ini diakses tanpa otorisasi dan kemudian diunduh dan dibagikan secara online, itu dapat merusak model pendapatan untuk pencipta. Database juga berisi catatan keuangan internal, khususnya total faktur yang dilaporkan pemilik aplikasi dibayar kepada Passion.io. Untuk organisasi mana pun, paparan data keuangan menimbulkan risiko kerahasiaan potensial yang dapat memberi pesaing atau penjahat wawasan berharga tentang operasi dan keuangan bisnis perusahaan.
Setelah organisasi mana pun memiliki pelanggaran data, Pengguna dan pelanggan harus waspada dan tahu bagaimana mengidentifikasi komunikasi yang mencurigakan. Ini bisa berupa hal -hal seperti email yang tidak terduga, panggilan telepon, atau pesan teks yang meminta informasi pribadi tambahan atau menyatakan ada pembayaran yang terutang. Upaya phishing biasanya hanya langkah pertama dalam agenda kriminal, jadi sangat penting untuk memverifikasi bahwa orang yang meminta informasi ini adalah siapa mereka. Saya juga merekomendasikan pengguna mengubah kata sandi apa pun yang terkait dengan layanan atau akun yang terpengaruh, menggunakan otentikasi dua faktor (2FA) sedapat mungkin, dan tidak pernah menggunakan kembali kata sandi untuk beberapa akun.
Untuk perusahaan yang mengumpulkan dan menyimpan data pengguna yang berpotensi sensitif, penting untuk menerapkan langkah -langkah keamanan tambahan. Saya merekomendasikan mengenkripsi dokumen apa pun (seperti spreadsheet) yang berisi data keuangan atau pelanggan. Perusahaan harus meninjau kebijakan kontrol akses mereka dan melakukan audit keamanan reguler untuk mengidentifikasi kerentanan atau paparan data yang tidak diinginkan. Ini juga merupakan ide yang baik untuk memperkuat otentikasi pengguna dan menegakkan otentikasi multi-faktor (MFA) untuk karyawan internal dan pengguna. Ini dapat memastikan bahwa informasi akun pelanggan yang sensitif dan data internal hanya dapat diakses oleh pengguna yang berwenang.
Ketika datang ke penyimpanan data, saya sarankan menyimpan hanya data yang diperlukan dan, setelah itu tidak lagi diperlukan, memastikan catatan tersebut dihapus dengan aman. Menyegmentasi penyimpanan dan tidak menyimpan berbagai file dalam database yang sama juga dapat meminimalkan risiko potensial dari paparan yang tidak disengaja.
Saya tidak menyiratkan kesalahan oleh Passion.io (PassionApps) oleh Independence284, Inc., atau karyawannya, agen, kontraktor, afiliasi, dan/atau entitas terkait. Saya tidak mengklaim bahwa data internal, pelanggan, atau pengguna apa pun yang berisiko segera. Skenario risiko data hipotetis yang telah saya sajikan dalam laporan ini secara ketat dan eksklusif untuk tujuan pendidikan dan tidak mencerminkan, menyarankan, atau menyiratkan kompromi aktual integritas data. Seharusnya tidak ditafsirkan sebagai cerminan atau komentar / sindiran pada praktik, sistem, atau langkah -langkah keamanan spesifik organisasi mana pun.
Sebagai peneliti keamanan etis, saya tidak mengunduh data yang saya temukan. Saya hanya mengambil sejumlah tangkapan layar yang diperlukan dan semata -mata untuk tujuan verifikasi dan dokumentasi. Saya tidak melakukan kegiatan apa pun di luar mengidentifikasi kerentanan keamanan dan memberi tahu pihak -pihak yang relevan. Saya menyangkal setiap dan semua tanggung jawab atas setiap dan semua tindakan yang dapat diambil sebagai hasil dari pengungkapan ini. Saya mempublikasikan temuan saya semata -mata untuk meningkatkan kesadaran akan masalah keamanan data dan privasi. Tujuan saya adalah untuk mendorong organisasi untuk secara proaktif menerapkan langkah -langkah untuk melindungi informasi sensitif terhadap akses yang tidak sah.
VPNMENTOR Publikasi Terkini
Pakar cybersecurity Jeremiah Fowler telah menemukan dan mengungkapkan beberapa pelanggaran data yang paling berdampak dalam beberapa tahun terakhir.
Ini termasuk pelanggaran data yang mengekspos lebih dari 500 ribu catatan, termasuk tiket ke pelanggan Cash PII dan pelanggaran data besar terbaru, yang mengekspos lebih dari 3 juta catatan yang mungkin menjadi milik Prephero, sebuah platform yang dirancang untuk membantu atlet sekolah menengah dalam mengamankan beasiswa olahraga perguruan tinggi.