577 gigabajtów! informacji o użytkownikach wirtualnej klawiatury „Ai.type”, która została pobrana prawie 40 milionów razy, było dostępnych dla każdego w Internecie. Początkowo przedsiębiorstwo startup’owe, a teraz zwykła firma odpowiedzialna za rozwój klawiatury dla Androida i iOS-a, źle skonfigurowała zabezpieczenia bazy danych MongoDB, która (niestety) była dostępna online. W efekcie każda osoba, która miała dostęp do Internetu mogła pobrać, a nawet usunąć całą bazę. O incydencie informuje Kromtech Security Center.
Zbyt dużo uprawnień
Z mobilnymi aplikacjami jest tak, że często wymagają więcej uprawnień niż rzeczywiście są im potrzebne do działania. Kiedy badacze zainstalowali Ai.type, dowiedzieli się, że muszą zezwolić klawiaturze na dostęp do „wszystkich” informacji przechowywanych na iPhonie.
Wyciek bazy danych ujawnił, jak wiele danych od 2010 roku zbierała firma o swoich 31 293 959 klientach. Według statystyk aplikacja Ai.type została pobrana w różnych językach około 40 milionów razy z Google Play. Wśród ujawnionych informacji znalazły się:
- numery telefonów,
- imię i nazwisko,
- model urządzenia,
- nazwa sieci komórkowej,
- numery, do których wysłano SMS,
- rozdzielczość ekranu,
- włączone języki,
- wersja Androida,
- numer IMSI,
- numer IMEI,
- wiadomości e-mail,
- kraj zamieszkania,
- linki i informacje związane z profilami społecznościowymi, a także zdjęcia z Google+, Facebooka,
- szczegóły o lokalizacji,
Wśród tych danych znalazły się także książki z telefonów o łącznej ilości rekordów 6 435 813, identyfikujące innych użytkowników, a więc:
- wpisane nazwy / nazwiska
- ich numery telefonów
Oprócz powyższych baza danych zawierała ponad 373 milionów rekordów innych informacji, które zostały pobrane z telefonów użytkowników, w tym wszystkie kontakty do osób trzecich, które były zapisane na urządzeniu lub zsynchronizowane z kontem Google.
Jeżeli korzystałeś/aś do tej pory z wirtualnej klawiatury Ai.type natychmiast odinstaluj to szpiegowskie oprogramowanie.
