Dating-apps lekken 845 gigabyte aan gevoelige foto's en berichten
Verschillende dating-apps, onder andere gericht op mensen met soa's en trio's, hebben 845 gigabyte aan gevoelige data gelekt. Het gaat om naaktfoto's en -filmpjes, audioberichten, privéchats, gebruikersnamen, financiële gegevens en persoonlijke details zoals e-mailadressen, geboortedata en echte namen. De data was voor iedereen op internet toegankelijk, zo ontdekten onderzoekers Noam Rotem en Ran Locar van vpnMentor.
De dating-apps, met namen als Herpes Dating, BBW Dating en 3somes, zijn allemaal ontwikkeld door een ontwikkelaar met de naam "Cheng Du New Tech Zone". De apps maken gebruik van Amazon S3-buckets voor de opslag van gegevens. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. In dit geval waren de instellingen aangepast waardoor de buckets wel voor iedereen benaderbaar waren.
Het ging in totaal om meer dan twintig miljoen bestanden. Hoeveel gebruikers door het datalek zijn getroffen is niet precies duidelijk, maar de onderzoekers schatten dat het in de honderdduizenden loopt. Naast gegevens van gebruikers vonden de onderzoekers ook adminwachtwoorden waarmee de Amazon Web Services-infrastructuur van de apps kon worden gecompromitteerd. De onbeveiligde S3-buckets werden op 24 mei ontdekt. De onderzoekers waarschuwden de ontwikkelaar op 26 mei en een dag later waren alle S3-buckets beveiligd.
Maar hun ict-vreemde betalende klanten schijnveiligheid bieden is toch echt een doodzonde. In dit geval schrijnend zelfs omdat Amazon hier met mensen te maken heeft die meestal geen andere keuze hebben mbt intimiteit.
Mag hopen dat ondanks de tijdelijke expose, de schade beperkt is/blijft voor die mensen. En anders een flinke bak smartengeld dmv een Amerikaanse rechter. Maar het blijft Amazon, dus helaas slechts mogelijk als de doelgroep collectief de rechtsgang inzet...
Maar hun ict-vreemde betalende klanten schijnveiligheid bieden is toch echt een doodzonde. In dit geval schrijnend zelfs omdat Amazon hier met mensen te maken heeft die meestal geen andere keuze hebben mbt intimiteit.
Mag hopen dat ondanks de tijdelijke expose, de schade beperkt is/blijft voor die mensen. En anders een flinke bak smartengeld dmv een Amerikaanse rechter. Maar het blijft Amazon, dus helaas slechts mogelijk als de doelgroep collectief de rechtsgang inzet...
Lol, deze vergelijking is hetzelfde als afgeven op Volkswagen omdat je iemand hebt zien rijden als een malloot in een Golf.
• Never allow Write access to the Everyone group. This setting allows anyone to add objects to your bucket, which you will then be billed for. This setting also allows anyone to delete objects in the bucket.
Ik denk dat Amazon er goed aan zou doen het onderscheid tussen publieke en beperkte toegang sterker te scheiden dan alleen via een instelling, maar het in te richten als een onderscheid in publieke buckets waarvan het de bedoeling is dat de hele wereld ze kan zien en besloten buckets waarin de mogelijkheid domweg ontbreekt en ook niet per ongeluk is in te stellen.
Maar hun ict-vreemde betalende klanten schijnveiligheid bieden is toch echt een doodzonde. In dit geval schrijnend zelfs omdat Amazon hier met mensen te maken heeft die meestal geen andere keuze hebben mbt intimiteit.
Mag hopen dat ondanks de tijdelijke expose, de schade beperkt is/blijft voor die mensen. En anders een flinke bak smartengeld dmv een Amerikaanse rechter. Maar het blijft Amazon, dus helaas slechts mogelijk als de doelgroep collectief de rechtsgang inzet...
Maar hun ict-vreemde betalende klanten schijnveiligheid bieden is toch echt een doodzonde. In dit geval schrijnend zelfs omdat Amazon hier met mensen te maken heeft die meestal geen andere keuze hebben mbt intimiteit.
Mag hopen dat ondanks de tijdelijke expose, de schade beperkt is/blijft voor die mensen. En anders een flinke bak smartengeld dmv een Amerikaanse rechter. Maar het blijft Amazon, dus helaas slechts mogelijk als de doelgroep collectief de rechtsgang inzet...
Volgens mij lees jij het artikel dus niet goed:
Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. In dit geval waren de instellingen aangepast waardoor de buckets wel voor iedereen benaderbaar waren.
Dit is een actie van de beheerder van de app geweest om dit expliciet uit te zetten.
Misschien moet je toch maar even je aluminiumfolie hoedje pakken, want een rechtzaak op basis van eigen instellingen ga je sowieso verliezen. Ben het wel met je eens dat als er iets mis is bij Google/Amazon/Apple/Microsoft dat je een heel grote collectieve rechtzaak moet hebben.
Het bewustzijn over data/persoonsgegevens dient ook echt wel dringend bijgespijkerd te worden. Met het argument: "Ik heb niks te verbergen" heb je wat mij betreft het punt van deze hele maatschappij te pakken. Het gaat er niet om of je wat te verbergen hebt, je privacy is geschonden als die gegevens op straat liggen. Heel veel mensen staan niet stil bij het feit dat met een aantal gegevens je heel gemakkelijk identiteitsfraude kunt plegen en dit heel moeilijk te bewijzen valt. Daarnaast is ook met deze medische gegevens je vertrouwen geschaad.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
