Onbeveiligde database legt gegevens van 3,6 miljoen Passion.io-makers bloot

Een enorm datalek heeft de persoonlijke gegevens van meer dan 3,6 miljoen app-ontwikkelaars, influencers en ondernemers in gevaar gebracht, blijkt uit een rapport van vpnMentor. Cybersecurity-expert Jeremiah Fowler ontdekte een onbeveiligde database met maar liefst 12,2 terabyte aan gevoelige gegevens, gekoppeld aan een app-platform.

De blootgelegde database, die noch versleuteld noch met een wachtwoord beveiligd was, bevatte 3.637.107 records. Deze records bevatten namen, e-mailadressen, fysieke adressen en details over betalingen van wat zowel gebruikers als app-ontwikkelaars leken te zijn.

Volgens Fowlers rapport suggereerden interne bestanden en de naam van de database dat de gegevens toebehoorden aan Passion.io, een bedrijf gevestigd in Texas/Delaware. Passion.io biedt een no-codeplatform waarmee mensen zoals makers, coaches en beroemdheden hun eigen mobiele apps kunnen bouwen zonder technische vaardigheden. Met deze apps kunnen gebruikers interactieve cursussen aanbieden en geld verdienen met abonnementen of eenmalige aankopen.

De blootgestelde informatie, waaronder persoonlijk identificeerbare informatie (PII) zoals namen, adressen en zelfs afbeeldingen, brengt aanzienlijke risico's met zich mee. Fowler waarschuwt dat dergelijke gegevens door criminelen kunnen worden gebruikt voor "phishing- of social engineering-aanvallen", die een veelvoorkomend startpunt vormen voor cybercriminaliteit. Gelekte e-mailadressen en aankoopgeschiedenissen kunnen worden gebruikt om personen ertoe te verleiden meer persoonlijke of financiële gegevens te onthullen door zich voor te doen als een vertrouwd bedrijf.

Bovendien roept de openbaarmaking van gebruikersprofielfoto's , waaronder soms ook kinderen, ernstige zorgen op over de privacy. Deze afbeeldingen kunnen mogelijk worden misbruikt voor imitatie, het aanmaken van nepaccounts of andere online oplichtingspraktijken.

De onderzoeker merkte op dat zelfs ogenschijnlijk onschuldige afbeeldingen "potentieel als wapen of voor onethische doeleinden gebruikt konden worden". Naast persoonsgegevens bevatte de database ook videobestanden en pdf-documenten die premium content leken te zijn die door app-ontwikkelaars werd verkocht, samen met interne financiële gegevens. Deze gegevens zouden de inkomsten van de makers kunnen ondermijnen en concurrenten inzicht kunnen geven in de bedrijfsvoering.

Toen Fowler het lek ontdekte, informeerde hij onmiddellijk Passion.io. Het bedrijf handelde snel en beperkte de openbare toegang tot de database diezelfde dag. Passion.io erkende de bevinding en verklaarde dat hun "Privacy Officer en het technische team eraan werken het probleem op te lossen en ervoor te zorgen dat dit niet meer kan gebeuren."

Als uw bedrijf desondanks gegevens verwerkt, zijn hier 5 belangrijke stappen om databasefouten en datalekken, zoals die bij Passion.io, te voorkomen. Het is belangrijk om te weten dat de volgende stappen geen perfectie garanderen, maar ze verkleinen wel de kans dat een database kwetsbaar wordt en gebruikersgegevens lekt:

• Implementeer multi-factor-authenticatie voor administratieve toegang.

• Gebruik rolgebaseerde toegang om te beperken wie gevoelige gegevens kan bekijken of wijzigen.

• Laat een database nooit openstaan ​​zonder wachtwoord of toegangscontrole.

• Gebruik sterke encryptieprotocollen en beheer uw sleutels veilig.

• Zorg ervoor dat alle gevoelige gegevens zowel op de schijf als tijdens de overdracht zijn gecodeerd.

• Stel waarschuwingen in voor publieke blootstelling of ongebruikelijke toegangspatronen.

• Gebruik cloudbeveiligingstools of configuratiescanners (bijvoorbeeld AWS Config, GCP Security Command Center) om verkeerde configuraties in realtime te detecteren.

• Test niet alleen uw app, maar ook uw opslag- en databaselagen.

• Voer routinematig kwetsbaarheidsbeoordelingen en penetratietests uit op uw infrastructuur.

• Houd de documentatie up-to-date en handhaaf beleid tijdens de ontwikkeling.

• Zorg ervoor dat alle teamleden die verantwoordelijk zijn voor de infrastructuur, weten hoe ze clouddatabases moeten beveiligen, machtigingen moeten beheren en risicovolle configuraties moeten herkennen.