Dating-apps lod 845 GB 'særligt sensitive' data ligge frit fremme i AWS-storage

Illustration: the_lightwriter/Bigstock
Omkring 2,5 millioner optegnelser fra brugere på dating-apps lå frit fremme i AWS-storage, der var sat forkert op. Brugere har fået delt både billeder, lydfiler og samtaler, der potentielt kan bruges til afpresning og såkaldt "doxing".

845 gigabyte eller nær 2,5 millioner optegnelser af private billeder, lydfiler og samtaler er blevet lækket fra brugere af en lang række dating-apps. Det skriver Wired.

Det forventes, at der er tale om flere hundredetusinde brugeres data.

Læs også: Firma hacket under hjemmearbejde: 1,1 millioner gameres data lækket

Den 24. maj stødte it-sikkerhedskonsulenter på en samling offentligt tilgængelige Amazon Web Services-filer, der var arrangeret i ’buckets’, såkaldte AWS S3-buckets.

Den store samling usorterede filer indeholdt filer fra datingapps som 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating, og GHunt.

I en rapport fra Vpnmentor fremgår det, at filerne kan bruges til blandt andet svig, afpresning og hacking.

Samme sted ses det også, at det er brugere fra USA og ’andre lande’, der er ramt af databruddet.

’Særligt sensitiv information’

Netop den eksplicitte karakter af indholdet får den ene it-sikkerhedskonsulent, Ran Locar, til at kalde indholdet for ’særlig sensitiv information’.

Han understreger, at fejlen ligger hos folkene bag de pågældende apps

»Dette er ikke et Amazon-problem. Organisationen, der har udviklet disse apps, har lavet fejl i konfigurationen, og det er farligt for brugerne.«

Læs også: Mand scammede seks Tinder-dates og svindlede med deres NemID for over en million kroner

Sådan information kan og er blevet brugt før til både afpresning, chikane og hævn – af og til samlet i begrebet ’doxing’.

Han er også overrasket over, hvor omfattende en mængde data, de har fundet, og uddyber, at han ikke mener, at der er tale om hacking, men simpelthen sløset opbevaring af data.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Bjarke Rodas

AWS’ rolle i det her svarer lidt til at man skrev det var en Apache webserver data lå på i et ikke-cloud setup. Fuldstændig irrelevant. Altså lugter det bare af cloud bashing og/eller clickbait.

  • 6
  • 1
#2 Dennis Benneballe Grade

Synes nu ikke der er tale om cloud-bashing. Jeg synes ikke, man kan "bashe" noget, hvis ens argumenter egentlig er valid kritik... hvad f**** har den slags sider brug for at have data i cloud???

Anyway, så er cloud-problematikken jo i høj grad, at ingen helt ved, hvor deres data er, hvis der er tale om colocations og udveksling af data mellem datacentre.

Derudover synes jeg klart at Amazon også har et ansvar her, i og med at de har ansvaret for databeskyttelse gennem design og standardindstillinger...

  • 0
  • 2
#3 Bjarke Rodas

Det er lidt uklart, hvad du mener - hvad den slags sider har brug for at have liggende i "cloud" er vel ikke cloud-providerens problem. Om de havde valgt at lægge samme data på en Apache eller IIS server stående i kælderen er jo deres samme dumme beslutning.

Uanset, så tror jeg aldrig du har prøvet at gøre en S3 bucket public / tilgængelig for http browsing? Der kommer store fede gule advarsler og konfigurationen lyser og skriger, at du har gjort ting public. Det er altid superduper at sætte sig ind i tingene inden man brokker, fx over Amazons "design og standardindstillinger".

  • 1
  • 0
Log ind eller Opret konto for at kommentere