Незащищенная база данных раскрывает данные 3,6 миллионов создателей Passion.io

Масштабная утечка данных поставила под угрозу личную информацию более 3,6 миллионов создателей приложений, влиятельных лиц и предпринимателей, говорится в отчете vpnMentor. Эксперт по кибербезопасности Джеремайя Фаулер обнаружил незащищенную базу данных, содержащую колоссальные 12,2 терабайта конфиденциальных данных, связанных с платформой для разработки приложений.

В раскрытой базе данных, которая не была ни зашифрована, ни защищена паролем, содержалось 3 637 107 записей. Эти записи включали имена, адреса электронной почты, физические адреса и сведения о платежах, которые, по-видимому, принадлежали как пользователям, так и создателям приложений.

Согласно отчету Фаулера, внутренние файлы и название базы данных предполагают, что данные принадлежат Passion.io, компании из Техаса/Делавэра. Passion.io предоставляет платформу без кода , позволяющую отдельным лицам, таким как создатели, тренеры и знаменитости, создавать собственные мобильные приложения без необходимости в технических навыках. Эти приложения позволяют пользователям предлагать интерактивные курсы и зарабатывать деньги с помощью подписок или разовых покупок.

Раскрытая информация, включая персональные данные (PII), такие как имена, адреса и даже изображения, несет в себе значительные риски. Фаулер предупреждает, что такие данные могут использоваться преступниками для «фишинговых или социальных инженерных атак», которые являются обычной отправной точкой для киберпреступлений. Утечка адресов электронной почты и истории покупок может использоваться, чтобы обманом заставить людей раскрыть больше личных или финансовых данных, выдавая себя за доверенную компанию.

Кроме того, раскрытие изображений профилей пользователей , некоторые из которых включают детей, вызывает серьезные опасения по поводу конфиденциальности. Эти изображения потенциально могут быть использованы для выдачи себя за другое лицо, создания поддельных аккаунтов или других видов онлайн-мошенничества.

Исследователь отметил, что даже, казалось бы, безобидные изображения могут быть «потенциально использованы в качестве оружия или в неэтичных целях». Помимо персональных данных, база данных также содержала видеофайлы и PDF-документы , которые, по всей видимости, представляли собой премиум-контент, продаваемый создателями приложений, а также внутренние финансовые записи, которые могли подорвать доходы создателей и дать конкурентам представление о деятельности компании.

Обнаружив утечку, Фаулер немедленно сообщил об этом Passion.io. Компания отреагировала быстро, ограничив публичный доступ к базе данных в тот же день. Passion.io признала обнаружение, заявив, что их «сотрудник по конфиденциальности и техническая команда работают над устранением проблемы, чтобы убедиться, что это не повторится».

Тем не менее, если ваша компания обрабатывает данные, вот 5 ключевых шагов, которым нужно следовать, чтобы избежать неправильной конфигурации базы данных и предотвратить утечки данных, подобные той, что затронула Passion.io. Стоит отметить, что эти следующие шаги не гарантируют совершенства, но они снижают вероятность того, что база данных останется незащищенной и произойдет утечка пользовательских данных:

• Внедрите многофакторную аутентификацию для административного доступа.

• Используйте доступ на основе ролей, чтобы ограничить круг лиц, которые могут просматривать или изменять конфиденциальные данные.

• Никогда не оставляйте базу данных открытой без пароля или контроля доступа.

• Используйте надежные протоколы шифрования и безопасно управляйте ключами.

• Убедитесь, что все конфиденциальные данные зашифрованы как на диске, так и во время передачи.

• Настройте оповещения о публичном доступе или необычных схемах доступа.

• Используйте инструменты безопасности облака или сканеры конфигурации (например, AWS Config, GCP Security Command Center) для обнаружения неверных конфигураций в режиме реального времени.

• Тестируйте не только свое приложение, но и уровни хранилища и базы данных.

• Проводите плановые оценки уязвимости и тесты на проникновение в вашу инфраструктуру.

• Поддерживайте актуальность документации и применяйте политики в процессе разработки.

• Убедитесь, что все члены команды, отвечающие за инфраструктуру, знают, как защищать облачные базы данных, управлять разрешениями и выявлять рискованные конфигурации.