У сервиса Whisper, позволяющего пользователям делиться друг с другом анонимными записями и личными сообщениями, возникли серьезные проблемы. Из-за бага пользовательские данные и профили оказались открыты всем желающим. Как сообщает Washington Post, утечка произошла из-за классической халатности: кто-то оставил базу данных без какой-либо защиты, то есть получить к ней доступ мог кто угодно.
По информации издания, независимые ИБ-исследователи обнаружили огромную БД, объемом около 75 Тб и содержащую примерно 900 миллионов записей, датированных 2012-2020 годами . То есть с момента запуска сервиса и до наших дней: оказалось, что Whisper хранит данные с 2012 года, не удаляя почти ничего.
Хотя в базе не было имен пользователей, она содержала их псевдонимы, заявленный возраст, этническую принадлежность, пол, информацию о городе, стране, IP-адресе и часовом поясе, данные о местоположении, а также информацию о членстве в группах (в том числе сексуального характера). Хуже того, информация о местоположении включала в себя конкретные координаты из последнего отправленного сообщения, то есть указывала на конкретные школы, жилые районы, места работы и так далее. Пользовательские изображения и видео так же были доступны, но размещались в других местах облачного хранилища.
В настоящее время представители Whisper уже устранили брешь в безопасности и закрыли БД от любопытных глаз, а об утечке поставлены в известность федеральные правоохранительные органы США. При этом остается неясным, как долго пользовательские данные были доступны любому желающему, и обнаруживал ли кто-то помимо исследователей эту утечку.
Сами эксперты предупреждают, что теперь некоторые пользователи сервиса могут быть идентифицированы и связаны с их некогда анонимными публикациями. Проблема заключается в том, что многих пользователей теперь можно связать с различными фетиш-группами, группами поддержки самоубийц, группами ненависти и так далее. Также база данных содержала информацию о миллионах несовершеннолетних, которые тоже используют приложение, несмотря на тот факт, что официально оно должно быть доступно лишь лицам старше 17 лет.
Хуже того, выяснилось, что Whisper оценивал, с какой вероятностью пользователь может являться сексуальным преступником, присваивая профилям соответствующее значение в поле predator_probability. По данным исследователей, оценку вероятности 100% получили около 9 000 пользователей, а еще человек 10 000 набрали 50%.
Разумеется, если подобная информация попадет в руки третьих лиц, эта БД может стать настоящей золотой жилой для шантажистов, мошенников, вымогателей и киберпреступников в целом. В итоге может оказаться, что эта утечка затмит даже знаменитый взлом Ashley Madison.