Крис Викери (Chris Vickery) вновь обнаружил базу данных, разглашающую хранящиеся в ней данные любому желающему. На этот раз база MongoDB делится со всем миром информацией о пользователях приложения Kinotopic, разработка которого была прекращена несколько лет назад.
В ходе привычной проверки Shodan на предмет отрытых портов 27017, Викери нашел базу данных приложения Kinotopic для iOS. Вышедшее в 2012 году Kinotopic, позволяло пользователям создавать анимированные изображения и короткие видео, а затем делиться ими. Приложение так и не снискало большой популярности и в итоге было закрыто. База пользователей, впрочем, осталась и дожила до наших дней.
По данным исследователя, неверно сконфигурированная БД открыта всем желающим и хранит информацию о 198 000 бывших пользователей Kinotopic, в том числе их никнеймы, email-адреса и хеши паролей. И хотя хеши выглядят вполне надежными, эксперт все же рекомендует бывшим пользователям поменять пароли:
«Я бы сказал, что есть неплохой шанс, что кто-то нашел [базу] раньше меня. По-моему, шанс 80-90%, что ее уже нашли и украли, особенно в свете всех этих последних новостей про [уязвимые] базы MongoDB», — рассказал эксперт изданию SecurityWeek.
Разумеется, Викери попытался найти бывших разработчиков приложения, но не преуспел в этом. Пытаясь достать хоть какие-то контакты, он даже пробовал попросить помощи в официальном App Store, однако Apple тоже не сумела ничем помочь. В итоге эксперт обнародовал данные о проблемной БД, надеясь, что кто-нибудь прочитает об этом в новостях и все-таки свяжет его с создателями Kinotopic.
Викери не преувеличивает, говоря о том, что новости о неправильно настроенных БД стали появляться чаще. Главный поставщик таких сообщений — сам Викери. В частности, именно он раскрыл утечку данных 13 млн пользователей MacKeeper, 35 000 уязвимых баз MongoDB и заметил утечку информации о 191 млн американских избирателей.
