image

Dating-apps lekken 845 gigabyte aan gevoelige foto's en berichten

maandag 15 juni 2020, 17:24 door Redactie, 5 reacties

Verschillende dating-apps, onder andere gericht op mensen met soa's en trio's, hebben 845 gigabyte aan gevoelige data gelekt. Het gaat om naaktfoto's en -filmpjes, audioberichten, privéchats, gebruikersnamen, financiële gegevens en persoonlijke details zoals e-mailadressen, geboortedata en echte namen. De data was voor iedereen op internet toegankelijk, zo ontdekten onderzoekers Noam Rotem en Ran Locar van vpnMentor.

De dating-apps, met namen als Herpes Dating, BBW Dating en 3somes, zijn allemaal ontwikkeld door een ontwikkelaar met de naam "Cheng Du New Tech Zone". De apps maken gebruik van Amazon S3-buckets voor de opslag van gegevens. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. In dit geval waren de instellingen aangepast waardoor de buckets wel voor iedereen benaderbaar waren.

Het ging in totaal om meer dan twintig miljoen bestanden. Hoeveel gebruikers door het datalek zijn getroffen is niet precies duidelijk, maar de onderzoekers schatten dat het in de honderdduizenden loopt. Naast gegevens van gebruikers vonden de onderzoekers ook adminwachtwoorden waarmee de Amazon Web Services-infrastructuur van de apps kon worden gecompromitteerd. De onbeveiligde S3-buckets werden op 24 mei ontdekt. De onderzoekers waarschuwden de ontwikkelaar op 26 mei en een dag later waren alle S3-buckets beveiligd.

Reacties (5)
15-06-2020, 23:02 door Anoniem
Amazon staat al niet zo hoog aangeschreven als het gaat om datalekken, privacy breaches en hun eeuwige loyaliteit aan spionagediensten.
Maar hun ict-vreemde betalende klanten schijnveiligheid bieden is toch echt een doodzonde. In dit geval schrijnend zelfs omdat Amazon hier met mensen te maken heeft die meestal geen andere keuze hebben mbt intimiteit.
Mag hopen dat ondanks de tijdelijke expose, de schade beperkt is/blijft voor die mensen. En anders een flinke bak smartengeld dmv een Amerikaanse rechter. Maar het blijft Amazon, dus helaas slechts mogelijk als de doelgroep collectief de rechtsgang inzet...
16-06-2020, 09:43 door Anoniem
Door Anoniem: Amazon staat al niet zo hoog aangeschreven als het gaat om datalekken, privacy breaches en hun eeuwige loyaliteit aan spionagediensten.
Maar hun ict-vreemde betalende klanten schijnveiligheid bieden is toch echt een doodzonde. In dit geval schrijnend zelfs omdat Amazon hier met mensen te maken heeft die meestal geen andere keuze hebben mbt intimiteit.
Mag hopen dat ondanks de tijdelijke expose, de schade beperkt is/blijft voor die mensen. En anders een flinke bak smartengeld dmv een Amerikaanse rechter. Maar het blijft Amazon, dus helaas slechts mogelijk als de doelgroep collectief de rechtsgang inzet...

Lol, deze vergelijking is hetzelfde als afgeven op Volkswagen omdat je iemand hebt zien rijden als een malloot in een Golf.
16-06-2020, 09:43 door Anoniem
Ik neem aan dat het bij de overgrote meerderheid van de S3-buckets goed gaat, maar de gevallen waar het fout gaat en ook meteen heel in het groot fout gaat laten zien dat er iets niet lekker zit. In de in het artikel gelinkte beschrijving van Amazon over beveiliging zie ik dit staan:
• Carefully consider your use case before granting Read access to the Everyone group because this allows anyone to access the bucket or object.
• Never allow Write access to the Everyone group. This setting allows anyone to add objects to your bucket, which you will then be billed for. This setting also allows anyone to delete objects in the bucket.
Het lijkt mij voor veel toepassingen een risico dat die "Everyone"-groep überhaupt bestaat. Als je het vergelijkt met een ouderwets, van de buitenwereld geïsoleerd bedrijfsnetwerk, dan is daar geen sprake van dat toegang voor iedereen meteen de hele wereld betreft, dat is toegang voor iedereen binnen het netwerk.

Ik denk dat Amazon er goed aan zou doen het onderscheid tussen publieke en beperkte toegang sterker te scheiden dan alleen via een instelling, maar het in te richten als een onderscheid in publieke buckets waarvan het de bedoeling is dat de hele wereld ze kan zien en besloten buckets waarin de mogelijkheid domweg ontbreekt en ook niet per ongeluk is in te stellen.
16-06-2020, 09:49 door Anoniem
Door Anoniem: Amazon staat al niet zo hoog aangeschreven als het gaat om datalekken, privacy breaches en hun eeuwige loyaliteit aan spionagediensten.
Maar hun ict-vreemde betalende klanten schijnveiligheid bieden is toch echt een doodzonde. In dit geval schrijnend zelfs omdat Amazon hier met mensen te maken heeft die meestal geen andere keuze hebben mbt intimiteit.
Mag hopen dat ondanks de tijdelijke expose, de schade beperkt is/blijft voor die mensen. En anders een flinke bak smartengeld dmv een Amerikaanse rechter. Maar het blijft Amazon, dus helaas slechts mogelijk als de doelgroep collectief de rechtsgang inzet...
Heb je het artikel wel helemaal gelezen? Standaard staat alles goed en veilig ingesteld, maar de gebruikers hebben de beveiliging aangepast. Waarom zou Amazon nu verantwoordelijk gesteld moeten worden? Als jij een ongeluk veroorzaakt met jouw auto, is het dan de schuld van RWS of de autofabrikant?
16-06-2020, 10:31 door Anoniem
Door Anoniem: Amazon staat al niet zo hoog aangeschreven als het gaat om datalekken, privacy breaches en hun eeuwige loyaliteit aan spionagediensten.
Maar hun ict-vreemde betalende klanten schijnveiligheid bieden is toch echt een doodzonde. In dit geval schrijnend zelfs omdat Amazon hier met mensen te maken heeft die meestal geen andere keuze hebben mbt intimiteit.
Mag hopen dat ondanks de tijdelijke expose, de schade beperkt is/blijft voor die mensen. En anders een flinke bak smartengeld dmv een Amerikaanse rechter. Maar het blijft Amazon, dus helaas slechts mogelijk als de doelgroep collectief de rechtsgang inzet...

Volgens mij lees jij het artikel dus niet goed:
Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. In dit geval waren de instellingen aangepast waardoor de buckets wel voor iedereen benaderbaar waren.

Dit is een actie van de beheerder van de app geweest om dit expliciet uit te zetten.

Misschien moet je toch maar even je aluminiumfolie hoedje pakken, want een rechtzaak op basis van eigen instellingen ga je sowieso verliezen. Ben het wel met je eens dat als er iets mis is bij Google/Amazon/Apple/Microsoft dat je een heel grote collectieve rechtzaak moet hebben.

Het bewustzijn over data/persoonsgegevens dient ook echt wel dringend bijgespijkerd te worden. Met het argument: "Ik heb niks te verbergen" heb je wat mij betreft het punt van deze hele maatschappij te pakken. Het gaat er niet om of je wat te verbergen hebt, je privacy is geschonden als die gegevens op straat liggen. Heel veel mensen staan niet stil bij het feit dat met een aantal gegevens je heel gemakkelijk identiteitsfraude kunt plegen en dit heel moeilijk te bewijzen valt. Daarnaast is ook met deze medische gegevens je vertrouwen geschaad.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.