Într-o postare de pe blogul oficial al Bitdefender se arată că cercetători ai companiei vpnMentor au descoperit o modalitate de expunere a informațiilor sensibile de pe site-uri și aplicații de dating prin intermediul a trei buckets Amazon Web Services (AWS) S3 configurate necorespunzător. Un AWS Simple Storage Service (S3) bucket este o resursă publică de stocare în cloud similară cu dosarele de fișiere, în care se stochează obiecte de tipul datelor și metadatelor descriptive ale acestora.

Conform unui raport publicat pe 16 iunie, bucket-urile S3 conțineau 845 GB de date, cu peste 20 de milioane de fișiere care conțin informații sensibile din conturile utilizatorilor, inclusiv

  • Imagini și fotografii
  • Nume utilizator, detalii personale și date financiare
  • Mesaje vocale și înregistrări audio
  • Chaturi private între utilizatori
  • Dovada tranzacțiilor financiare

Lista include o varietate de platforme de întâlnire de nișă, cum ar fi 3somes, CougarD, Xpal, SugarD, GHunt și multe altele. În plus, în afară de deconspirarea informațiilor personale și extrem de sensibile pentru utilizatori, bazele de date configurate necorespunzător au expus și infrastructura de aplicații prin intermediul credențialelor de administrare și parolelor nesecurizate.

„Din motive etice, niciodată nu vizualizăm sau descărcăm fișiere stocate pe o bază de date sau bucket AWS care a fost penetrate. Drept urmare, este dificil să calculăm câte persoane au fost expuse în această încălcare a datelor, dar estimăm că a fost cel puțin de ordinul sutelor de mii, dacă nu chiar al milioanelor”, au spus cercetătorii. „Ca hackeri etici, suntem obligați să informăm o companie atunci când descoperim breșe în securitatea lor online. Am contactat dezvoltatorii, nu numai pentru a-i informa despre vulnerabilitate, ci și pentru a sugera modalități prin care aceștia ar putea asigura securizarea sistemului.”

Scurgerea de date ar putea avea efecte devastatoare pentru utilizatori. Actorii răuvoitori pot folosi potențialul informațiilor sensibile pentru diverse forme de extorsiune și intimidare, care ar putea să se transforme într-un alt dezastru de tipul AshleyMadison. Peste 30 de milioane de utilizatori au fost expuși în urma încălcării datelor din 2015 pe respectivul site, iar acțiunile de șantaj asupra utilizatorilor acestuia au continuat să iasă la suprafață la aproape 5 ani după ce actorii rău intenționați au postat un pachet de date care conținea date sensibile pentru utilizatori.

În mâinile cyber-criminalilor experimentați, datele pot fi utilizate pentru mai mult decât doar simple escrocherii. Folosind varietatea de informații ca un element de negociere, șantajiștii pot începe o afacere profitabilă. Nimeni nu își dorește ca secretele lor să fie expuse pe social media sau către familie și prieteni.

„Cu atât de mulți utilizatori ai fiecărei aplicații expuse în breșa de date, infractorii ar trebui doar să convingă un număr mic de oameni să le plătească pentru ca un sistem de șantaj și extorsiune să aibă succes”, au avertizat cercetătorii. „Procedând astfel, ei ar putea distruge relațiile, precum și viața personală și profesională a multor oameni.”