Logo

Wybierz język

Polish

Down Icon

Wybierz kraj

America

Down Icon

Niezabezpieczona baza danych ujawnia dane 3,6 miliona twórców Passion.io

Niezabezpieczona baza danych ujawnia dane 3,6 miliona twórców Passion.io

Ogromny wyciek danych naraził na ryzyko dane osobowe ponad 3,6 miliona twórców aplikacji, influencerów i przedsiębiorców, ujawnia raport vpnMentor. Ekspert ds. cyberbezpieczeństwa Jeremiah Fowler odkrył niezabezpieczoną bazę danych zawierającą aż 12,2 terabajtów poufnych danych, powiązaną z platformą do tworzenia aplikacji.

Ujawniona baza danych, która nie była ani zaszyfrowana, ani chroniona hasłem, zawierała 3 637 107 rekordów. Rekordy te obejmowały nazwiska, adresy e-mail, adresy fizyczne i szczegóły dotyczące płatności dla tego, co wydawało się być zarówno użytkownikami, jak i twórcami aplikacji.

Według raportu Fowlera pliki wewnętrzne i nazwa bazy danych sugerowały, że dane należą do Passion.io, firmy z siedzibą w Teksasie/Delaware. Passion.io zapewnia platformę bez kodu , umożliwiającą osobom takim jak twórcy, trenerzy i gwiazdy tworzenie własnych aplikacji mobilnych bez konieczności posiadania umiejętności technicznych. Te aplikacje umożliwiają użytkownikom oferowanie interaktywnych kursów i zarabianie pieniędzy poprzez subskrypcje lub jednorazowe zakupy.

Ujawnione informacje, w tym dane umożliwiające identyfikację osoby (PII), takie jak nazwiska, adresy, a nawet obrazy, niosą ze sobą znaczne ryzyko. Fowler ostrzega, że ​​takie dane mogą być wykorzystywane przez przestępców do „ataków phishingowych lub socjotechnicznych”, które są powszechnym punktem wyjścia dla cyberprzestępstw. Wyciekłe adresy e-mail i historie zakupów mogą być wykorzystywane do oszukiwania osób, aby ujawniły więcej danych osobowych lub finansowych, podszywając się pod zaufaną firmę.

Ponadto ujawnienie zdjęć profili użytkowników , z których niektóre obejmowały dzieci, budzi poważne obawy dotyczące prywatności. Zdjęcia te mogą być potencjalnie niewłaściwie wykorzystywane do podszywania się, tworzenia fałszywych kont lub innych oszustw internetowych.

Źródło: vpnMentor

Badacz zauważył, że nawet pozornie nieszkodliwe obrazy mogą być „potencjalnie wykorzystane jako broń lub do nieetycznych celów”. Oprócz danych osobowych baza danych zawierała również pliki wideo i dokumenty PDF , które wydawały się być treścią premium sprzedawaną przez twórców aplikacji, wraz z wewnętrznymi zapisami finansowymi, co mogłoby podważyć przychody twórców i dać konkurentom wgląd w działalność firmy.

Po odkryciu wycieku Fowler natychmiast poinformował Passion.io. Firma zareagowała szybko, ograniczając publiczny dostęp do bazy danych tego samego dnia. Passion.io potwierdziło odkrycie, stwierdzając, że „ich inspektor ochrony prywatności i zespół techniczny pracują nad rozwiązaniem problemu, aby upewnić się, że to się nie powtórzy”.

Niemniej jednak, jeśli Twoja firma przetwarza dane, oto 5 kluczowych kroków, które należy wykonać, aby uniknąć błędnych konfiguracji bazy danych i zapobiec wyciekom danych, takim jak ten, który dotyczy Passion.io. Warto zauważyć, że poniższe kroki nie zagwarantują perfekcji, ale zmniejszają ryzyko pozostawienia bazy danych narażoną na wyciek i wyciek danych użytkownika:

  • Wprowadź uwierzytelnianie wieloskładnikowe w celu uzyskania dostępu administracyjnego.
  • Użyj dostępu opartego na rolach, aby ograniczyć osoby, które mogą przeglądać lub modyfikować poufne dane.
  • Nigdy nie pozostawiaj bazy danych dostępnej bez hasła i kontroli dostępu.
  • Stosuj silne protokoły szyfrowania i zarządzaj kluczami w sposób bezpieczny.
  • Upewnij się, że wszystkie poufne dane są szyfrowane zarówno na dysku, jak i podczas transferu.
  • Skonfiguruj alerty dotyczące narażenia publicznego lub nietypowych wzorców dostępu.
  • Użyj narzędzi zapewniających bezpieczeństwo w chmurze lub skanerów konfiguracji (np. AWS Config, GCP Security Command Center), aby wykrywać nieprawidłowe konfiguracje w czasie rzeczywistym.
  • Testuj nie tylko swoją aplikację, ale także warstwy pamięci masowej i bazy danych.
  • Przeprowadzaj rutynowe oceny podatności i testy penetracyjne swojej infrastruktury.
  • Dbaj o aktualność dokumentacji i egzekwuj zasady podczas tworzenia oprogramowania.
  • Upewnij się, że wszyscy członkowie zespołu odpowiedzialni za infrastrukturę wiedzą, jak zabezpieczać bazy danych w chmurze, zarządzać uprawnieniami i wykrywać ryzykowne konfiguracje.
HackRead

HackRead

Podobne wiadomości

Wszystkie wiadomości
Animated ArrowAnimated ArrowAnimated Arrow
Akcje DocuSign spadają o 18% po obniżeniu przez firmę prognoz dotyczących rozliczeń
CNBC

Akcje DocuSign spadają o 18% po obniżeniu przez firmę prognoz dotyczących rozliczeń

Koszmarne wirtualne karty do gier Nintendo sprawiają, że Switch 2 staje się polem minowym DRM
gizmodo

Koszmarne wirtualne karty do gier Nintendo sprawiają, że Switch 2 staje się polem minowym DRM

PRZYdomek: Eksploit Zero-Click iMessage skierowany na kluczowe postacie w USA i UE
HackRead

PRZYdomek: Eksploit Zero-Click iMessage skierowany na kluczowe postacie w USA i UE

Trump chce przeznaczyć 2 miliony dolarów na zbadanie, czy DEI powoduje katastrofy lotnicze
gizmodo

Trump chce przeznaczyć 2 miliony dolarów na zbadanie, czy DEI powoduje katastrofy lotnicze

Odblokowanie sukcesu: najważniejsze powody, dla których warto założyć firmę już dziś
Small BusinessTrends

Odblokowanie sukcesu: najważniejsze powody, dla których warto założyć firmę już dziś