Logo

Seleziona la lingua

Italian

Down Icon

Seleziona Paese

England

Down Icon

Un database non protetto espone i dati di 3,6 milioni di creatori di Passion.io

Un database non protetto espone i dati di 3,6 milioni di creatori di Passion.io

Una massiccia fuga di dati ha messo a rischio le informazioni personali di oltre 3,6 milioni di creatori di app, influencer e imprenditori, rivela un rapporto di vpnMentor. L'esperto di sicurezza informatica Jeremiah Fowler ha scoperto un database non protetto contenente ben 12,2 terabyte di dati sensibili, collegato a una piattaforma per lo sviluppo di app.

Il database esposto, che non era né crittografato né protetto da password, conteneva 3.637.107 record. Questi record includevano nomi, indirizzi email, indirizzi fisici e dettagli sui pagamenti di quelli che sembravano essere sia utenti che creatori di app.

Secondo il rapporto di Fowler, i file interni e il nome del database suggerivano che i dati appartenessero a Passion.io, un'azienda con sede in Texas/Delaware. Passion.io offre una piattaforma no-code che consente a persone come creatori, coach e celebrità di creare le proprie app mobili senza bisogno di competenze tecniche. Queste app consentono agli utenti di offrire corsi interattivi e guadagnare tramite abbonamenti o acquisti una tantum.

Le informazioni esposte, comprese le informazioni di identificazione personale (PII) come nomi, indirizzi e persino immagini, comportano rischi significativi. Fowler avverte che tali dati possono essere utilizzati dai criminali per "attacchi di phishing o di ingegneria sociale", che rappresentano un punto di partenza comune per i reati informatici. Indirizzi email e cronologie degli acquisti trapelati possono essere utilizzati per indurre gli utenti a rivelare ulteriori dettagli personali o finanziari impersonando un'azienda affidabile.

Inoltre, l'esposizione di immagini di profili utente , alcune delle quali raffigurano bambini, solleva gravi preoccupazioni in materia di privacy. Queste immagini potrebbero potenzialmente essere utilizzate in modo improprio per impersonificare, creare account falsi o altre truffe online.

Fonte: vpnMentor

Il ricercatore ha osservato che anche immagini apparentemente innocue potrebbero essere "potenzialmente trasformate in armi o utilizzate per scopi illeciti". Oltre ai dati personali, il database conteneva anche file video e documenti PDF che sembravano contenuti premium venduti dai creatori di app, insieme a registri finanziari interni, che potrebbero compromettere i ricavi dei creatori e fornire ai concorrenti informazioni sulle attività dell'azienda.

Dopo aver scoperto la fuga di dati, Fowler ha prontamente informato Passion.io. L'azienda ha agito rapidamente, limitando l'accesso pubblico al database il giorno stesso. Passion.io ha riconosciuto la scoperta, affermando che "il responsabile della privacy e il team tecnico stanno lavorando per risolvere il problema, assicurandosi che ciò non accada di nuovo".

Tuttavia, se la tua azienda elabora dati, ecco 5 passaggi chiave da seguire per evitare configurazioni errate del database e prevenire perdite di dati come quella che ha colpito Passion.io. È importante notare che i seguenti passaggi non garantiscono la perfezione, ma riducono il rischio di lasciare un database esposto e di perdere i dati degli utenti:

  • Implementare l'autenticazione multifattoriale per l'accesso amministrativo.
  • Utilizzare l'accesso basato sui ruoli per limitare chi può visualizzare o modificare dati sensibili.
  • Non lasciare mai un database esposto senza password o controllo di accesso.
  • Utilizza protocolli di crittografia avanzati e gestisci le chiavi in ​​modo sicuro.
  • Assicurarsi che tutti i dati sensibili siano crittografati sia sul disco che durante il trasferimento.
  • Imposta avvisi in caso di esposizione del pubblico o di modalità di accesso insolite.
  • Utilizzare strumenti di sicurezza cloud o scanner di configurazione (ad esempio AWS Config, GCP Security Command Center) per rilevare configurazioni errate in tempo reale.
  • Non testare solo la tua app, ma anche i tuoi livelli di archiviazione e database.
  • Esegui valutazioni di vulnerabilità e test di penetrazione di routine sulla tua infrastruttura.
  • Mantenere aggiornata la documentazione e applicare le policy durante lo sviluppo.
  • Assicuratevi che tutti i membri del team che gestiscono l'infrastruttura sappiano come proteggere i database cloud, gestire le autorizzazioni e individuare configurazioni rischiose.
HackRead

HackRead

Notizie simili

Tutte le notizie
Animated ArrowAnimated ArrowAnimated Arrow
Samsung emette un avviso urgente per i possessori di telefoni Galaxy nel Regno Unito: verifica subito le tue impostazioni
Daily Express

Samsung emette un avviso urgente per i possessori di telefoni Galaxy nel Regno Unito: verifica subito le tue impostazioni

Mappate le peggiori aree per la banda larga nel Regno Unito: controlla subito il tuo codice postale
Daily Express

Mappate le peggiori aree per la banda larga nel Regno Unito: controlla subito il tuo codice postale

Gli archeologi trovano uno scheletro sinistro che rivela il "peggior modo possibile di morire"
Daily Express

Gli archeologi trovano uno scheletro sinistro che rivela il "peggior modo possibile di morire"

Sky ti offre telefoni Pixel economici, ma questa offerta è accompagnata da un avviso
Daily Express

Sky ti offre telefoni Pixel economici, ma questa offerta è accompagnata da un avviso

Sky ti offre 35 canali extra gratis questo fine settimana: ecco come richiederli
Daily Mirror

Sky ti offre 35 canali extra gratis questo fine settimana: ecco come richiederli