Jelentés: A Dating App szivárog explicit felhasználói üzenetekkel és egyéb személyes adatokkal
A vpnMentor kutatócsoportja nemrég felfedezte a JCrush társkereső alkalmazás adatainak szivárgását.
Noam Rotem és Ran Locar – a vpnMentor kutatócsoportjának kulcsfontosságú tagjai – biztonsági kutatói felfedezték a jogsértést, amely akár 200 000 felhasználó személyazonosító adatait, preferenciáit és (néha explicit) magánbeszélgetéseit is felfedte a JCrush alkalmazáson belül. A JCrush a Crush Mobile társkereső alkalmazások családjának (1,5 millió felhasználó) része, amelyet 2023-ban a Northsight Capital, Inc. vásárolt meg (OTCQB: NCAP).
Csapatunk felfedezte 18,454 GB titkosítatlan rekordok száma a Mongo adatbázisban. A közzététel óta az adatbázis már nem érhető el, és a szivárgás úgy tűnik, hogy megállt.
A szerkesztő megjegyzése: Sem a vpnMentor, sem a biztonsági kutatócsoport nem akarta, hogy bárki kiaknázza ezeket az adatokat, ezért azonnal felkeresettük a JCrush-ot, amikor felfedezték. Nem vizsgáltuk mélyen a kiszivárgott adatokat; csapatunk egyszerűen megtalálta és megerősítette létezését.
A felfedezés és reagálás ütemterve
| Az adatok megsértése felfedezett | 2023. május 30 |
| A vpnMentor csapata kapcsolatba lépett a JCrush-lal | 2023. május 31 |
| Az adat szivárgás javítva | 2023. május 31 |
| Nincs válasz JCrush-tól; Felveszi a kapcsolatot a Northsight Capital céggel | 2023. június 2 |
| Northsight Capital válaszolt | 2023. június 4 |
Az adatbázisban szereplő információk
A szivárgás súlyossága befolyásolja a közzétett adatok jellegét. A szivárgás részét képezte a felhasználók közötti titkosítatlan magánbeszélgetés. E beszélgetések többségét kifejezett üzenetekkel és magánjellegű adatokkal, valamint személyes azonosító adatokkal terhelték.
A JCrush felhasználói körében a magánüzenetek mellett további adatok is voltak, beleértve a teljes profilokat és fényképeket, a magán médiát, a Facebook profilokat és tokeneket, és még sok más.
Szóval, mit jelent ez a való világban? A szivárgásból érzékeny felhasználói adatokat és levelezést találtunk, amely a következőket tartalmazza:
- A felhasználók első és utóneve
- Email címek
- Facebook tokenek, amelyek felhasználhatók a bejelentkezéshez
- Teljes felhasználói profilok
- Profilkép
- Az üzenetekben küldött privát – néha nagyon intim – üzenetek és érzékeny képek
- Hány „ellopást” kapott egy felhasználó havonta
- Mikor és hol jelentkeztek be utoljára
A JCrush – az adatvédelmi politikájuk szerint – a következő adatokat rögzíti és tárolja felhasználóival kapcsolatban, amelyekre mind a legutóbbi jogsértés hajlamos:
- Megtalált felhasználók mobil eszköz egyedi azonosító számai
- FOUND felhasználók mobilkészülékének földrajzi helye, az alkalmazás aktív futása közben
- FOUND Felhasználói számítógépes IP-címek
- Megtalált technikai információk a felhasználók számítógépéről vagy mobil eszközéről (például az eszköz típusa, böngésző vagy operációs rendszer)
- FOUND Felhasználói beállítások és beállítások (időzóna, nyelv, adatvédelmi beállítások, termékpreferenciák stb.)
- FOUND Az utolsó weboldal URL-je, amelyet a JCrush webhelyre való belépés előtt felkerestek
- FOUND A gombok, kezelőszervek és hirdetések, amelyekre a felhasználók kattintottak (ha vannak)
- FOUND Mennyi ideig használják a JCrush-ot a felhasználók és milyen szolgáltatásokat és funkciókat használtak a felhasználók
- FOUND A JCrush online vagy offline állapota
Az adatszivárgás hatása
Az adatok áttekintése közben megbotlik a több állami alkalmazott, köztük az Egyesült Államok Nemzeti Egészségügyi Intézetének, az amerikai veteránügyeknek, a brazil munkaügyi és foglalkoztatási minisztériumnak, az Egyesült Királyság kulturális osztályának, Izrael Igazságszolgáltatásának összes felhasználói adatait és üzeneteit illetően. Tanszék és így tovább. Ez a szivárgás könnyen veszélyezteti az embereket és hasonló személyeket állami szerepvállalásban a rosszindulatú hackerek általi zsarolás miatt.
A JCrush speciális „inkognitómódot” kínál, ahol a felhasználók díjat fizethetnek, hogy elrejtsék profiljukat minden felhasználó számára, amíg „jobbra nem csúsznak” rajtuk.. Ez a szivárgás potenciálisan ki lehet téve azoknak, akik névtelen maradni kívánnak randevúzásuk során – ideértve a nyilvánosság előtt álló személyeket vagy a házasokat is..
Ez az adatsértés rávilágít arra a típusú információra, amely a számítógépes fenyegetések sokaságára rendelkezésre állhat, és hogyan befolyásolhatja azok százezrek életét, akik érzékenyek a digitális bűnözők szeszélyére..
Más társkereső és összekapcsoló alkalmazások, például a Tinder, nyilvánvalóan rögzítik és tárolják a felhasználók személyes adatait és üzeneteit. Ez kiváló példa arra, amit a nyilvánosság számára hozzáférhetővé lehet tenni – hiányos vagy anélkül.
Hogyan találtuk meg az adatok megsértését
A vpnMentor kutatócsoportja jelenleg hatalmas webes térképezési projektet hajt végre. A portok szkennelésével ismert IP blokkok vizsgálatához hiányosságokat derít fel a webes rendszerekben, amelyeket ezután megvizsgálnak sérülékenységek szempontjából, ideértve a potenciális adatmegvilágítást és a megsértéseket.
Az éves tapasztalat és a know-how felhasználásával a kutatócsoport megvizsgálja az adatbázist, hogy igazolja személyazonosságát.
Az azonosítás után kapcsolatba lépünk az adatbázis tulajdonosával, hogy jelentsük a szivárgást. Amikor csak lehetséges, figyelmeztetünk a közvetlenül érintett személyeket is. Ez a mi változatunk a jó karma megjelenítéséről az interneten – egy biztonságosabb és védett internet felépítéséhez.
A szakértők tanácsai
Meg lehetett volna akadályozni ezt az adatszivárogást? Teljesen! A vállalatok elkerülhetik egy ilyen helyzetet azáltal, hogy haladéktalanul meghozzák a lényeges biztonsági intézkedéseket, ideértve:
- Első és legfontosabb: biztonságos kiszolgálók.
- Végezzen el megfelelő hozzáférési szabályokat.
- Soha ne hagyja az Internet számára nyitva egy olyan rendszert, amely nem igényel hitelesítést.
Ha részletesebb információt szeretne nyújtani vállalkozása védelméről, olvassa el webhelyének és online adatbázisának a hackerek elleni védelmét.
Nézze meg a felfedezett további adatszivárokat
A vpnMentor a világ legnagyobb VPN-áttekintő webhelye. Kutatólaboratóriumunk egy pro bono szolgáltatás, amelynek célja az online közösség védelme az internetes fenyegetésekkel szemben, miközben a szervezeteket a felhasználói adatok védelméről oktatja..
Nemrég felfedeztünk egy szállodai csoport kiberbiztonsági adatainak szivárgását, valamint egy adat megsértését, amely több mint 80 millió amerikai háztartást tárt fel. Érdemes elolvasni a VPN szivárgás jelentését és az adatvédelmi statisztikák jelentését is.
Kérjük, ossza meg ezt a jelentést a Facebookon, vagy tweetelt.
17.04.2023 @ 21:25
A JCrush társkereső alkalmazás adatainak szivárgása nagyon aggasztó és figyelmeztető jelzés arra, hogy milyen fontos az online adatvédelem. Az adatok védelme és biztonsága kulcsfontosságú, különösen az olyan alkalmazások esetében, amelyek személyes információkat tárolnak. A vpnMentor kutatócsoportjának felfedezése és azonnali reagálása nagyon fontos, és reméljük, hogy ez a figyelmeztetés segít az embereknek jobban megérteni az online adatvédelem fontosságát. Az adatok védelme mindenki felelőssége, és mindannyian meg kell tennünk a szükséges lépéseket annak érdekében, hogy megvédjük magunkat és adatainkat az online világban.