Logo

Выберите язык

Russian

Down Icon

Выберите страну

England

Down Icon

Незащищенная база данных раскрывает данные 3,6 миллионов создателей Passion.io

Незащищенная база данных раскрывает данные 3,6 миллионов создателей Passion.io

Масштабная утечка данных поставила под угрозу личную информацию более 3,6 миллионов создателей приложений, влиятельных лиц и предпринимателей, говорится в отчете vpnMentor. Эксперт по кибербезопасности Джеремайя Фаулер обнаружил незащищенную базу данных, содержащую колоссальные 12,2 терабайта конфиденциальных данных, связанных с платформой для разработки приложений.

В раскрытой базе данных, которая не была ни зашифрована, ни защищена паролем, содержалось 3 637 107 записей. Эти записи включали имена, адреса электронной почты, физические адреса и сведения о платежах, которые, по-видимому, принадлежали как пользователям, так и создателям приложений.

Согласно отчету Фаулера, внутренние файлы и название базы данных предполагают, что данные принадлежат Passion.io, компании из Техаса/Делавэра. Passion.io предоставляет платформу без кода , позволяющую отдельным лицам, таким как создатели, тренеры и знаменитости, создавать собственные мобильные приложения без необходимости в технических навыках. Эти приложения позволяют пользователям предлагать интерактивные курсы и зарабатывать деньги с помощью подписок или разовых покупок.

Раскрытая информация, включая персональные данные (PII), такие как имена, адреса и даже изображения, несет в себе значительные риски. Фаулер предупреждает, что такие данные могут использоваться преступниками для «фишинговых или социальных инженерных атак», которые являются обычной отправной точкой для киберпреступлений. Утечка адресов электронной почты и истории покупок может использоваться, чтобы обманом заставить людей раскрыть больше личных или финансовых данных, выдавая себя за доверенную компанию.

Кроме того, раскрытие изображений профилей пользователей , некоторые из которых включают детей, вызывает серьезные опасения по поводу конфиденциальности. Эти изображения потенциально могут быть использованы для выдачи себя за другое лицо, создания поддельных аккаунтов или других видов онлайн-мошенничества.

Источник: vpnMentor

Исследователь отметил, что даже, казалось бы, безобидные изображения могут быть «потенциально использованы в качестве оружия или в неэтичных целях». Помимо персональных данных, база данных также содержала видеофайлы и PDF-документы , которые, по всей видимости, представляли собой премиум-контент, продаваемый создателями приложений, а также внутренние финансовые записи, которые могли подорвать доходы создателей и дать конкурентам представление о деятельности компании.

Обнаружив утечку, Фаулер немедленно сообщил об этом Passion.io. Компания отреагировала быстро, ограничив публичный доступ к базе данных в тот же день. Passion.io признала обнаружение, заявив, что их «сотрудник по конфиденциальности и техническая команда работают над устранением проблемы, чтобы убедиться, что это не повторится».

Тем не менее, если ваша компания обрабатывает данные, вот 5 ключевых шагов, которым нужно следовать, чтобы избежать неправильной конфигурации базы данных и предотвратить утечки данных, подобные той, что затронула Passion.io. Стоит отметить, что эти следующие шаги не гарантируют совершенства, но они снижают вероятность того, что база данных останется незащищенной и произойдет утечка пользовательских данных:

  • Внедрите многофакторную аутентификацию для административного доступа.
  • Используйте доступ на основе ролей, чтобы ограничить круг лиц, которые могут просматривать или изменять конфиденциальные данные.
  • Никогда не оставляйте базу данных открытой без пароля или контроля доступа.
  • Используйте надежные протоколы шифрования и безопасно управляйте ключами.
  • Убедитесь, что все конфиденциальные данные зашифрованы как на диске, так и во время передачи.
  • Настройте оповещения о публичном доступе или необычных схемах доступа.
  • Используйте инструменты безопасности облака или сканеры конфигурации (например, AWS Config, GCP Security Command Center) для обнаружения неверных конфигураций в режиме реального времени.
  • Тестируйте не только свое приложение, но и уровни хранилища и базы данных.
  • Проводите плановые оценки уязвимости и тесты на проникновение в вашу инфраструктуру.
  • Поддерживайте актуальность документации и применяйте политики в процессе разработки.
  • Убедитесь, что все члены команды, отвечающие за инфраструктуру, знают, как защищать облачные базы данных, управлять разрешениями и выявлять рискованные конфигурации.
HackRead

HackRead

Похожие новости

Все новости
Animated ArrowAnimated ArrowAnimated Arrow
Кошмарные виртуальные игровые карты Nintendo превращают Switch 2 в минное поле DRM
gizmodo

Кошмарные виртуальные игровые карты Nintendo превращают Switch 2 в минное поле DRM

ПРОЗВАНИЕ: Эксплойт Zero-Click iMessage, нацеленный на ключевых фигур в США и ЕС
HackRead

ПРОЗВАНИЕ: Эксплойт Zero-Click iMessage, нацеленный на ключевых фигур в США и ЕС

Трамп хочет потратить 2 миллиона долларов на расследование того, является ли DEI причиной авиакатастроф
gizmodo

Трамп хочет потратить 2 миллиона долларов на расследование того, является ли DEI причиной авиакатастроф

Раскрытие успеха: главные причины зарегистрировать свой бизнес сегодня
Small BusinessTrends

Раскрытие успеха: главные причины зарегистрировать свой бизнес сегодня

Цены на газ остаются низкими с начала июня, предлагая облегчение на заправках
Small BusinessTrends

Цены на газ остаются низкими с начала июня, предлагая облегчение на заправках