Анонимный сервис Whisper раскрывал данные своих пользователей

У сервиса Whisper, позволяющего пользователям делиться друг с другом анонимными записями и личными сообщениями, возникли серьезные проблемы. Из-за бага пользовательские данные и профили оказались открыты всем желающим. Как сообщает Washington Post, утечка произошла из-за классической халатности: кто-то оставил базу данных без какой-либо защиты, то есть получить к ней доступ мог кто угодно.

По информации издания, независимые ИБ-исследователи обнаружили огромную БД, объемом около 75 Тб и содержащую примерно 900 миллионов записей, датированных 2012-2020 годами . То есть с момента запуска сервиса и до наших дней: оказалось, что Whisper хранит данные с 2012 года, не удаляя почти ничего.

Хотя в базе не было имен пользователей, она содержала их псевдонимы, заявленный возраст, этническую принадлежность, пол, информацию о городе, стране, IP-адресе и часовом поясе, данные о местоположении, а также информацию о членстве в группах (в том числе сексуального характера). Хуже того, информация о местоположении включала в себя конкретные координаты из последнего отправленного сообщения, то есть указывала на конкретные школы, жилые районы, места работы и так далее. Пользовательские изображения и видео так же были доступны, но размещались в других местах облачного хранилища.

В настоящее время представители Whisper уже устранили брешь в безопасности и закрыли БД от любопытных глаз, а об утечке поставлены в известность федеральные правоохранительные органы США. При этом остается неясным, как долго пользовательские данные были доступны любому желающему, и обнаруживал ли кто-то помимо исследователей эту утечку.

Сами эксперты предупреждают, что теперь некоторые пользователи сервиса могут быть идентифицированы и связаны с их некогда анонимными публикациями. Проблема заключается в том, что многих пользователей теперь можно связать с различными фетиш-группами, группами поддержки самоубийц, группами ненависти и так далее. Также база данных содержала информацию о миллионах несовершеннолетних, которые тоже используют приложение, несмотря на тот факт, что официально оно должно быть доступно лишь лицам старше 17 лет.

Хуже того, выяснилось, что Whisper оценивал, с какой вероятностью пользователь может являться сексуальным преступником, присваивая профилям соответствующее значение в поле predator_probability. По данным исследователей, оценку вероятности 100% получили около 9 000 пользователей, а еще человек 10 000 набрали 50%.

Разумеется, если подобная информация попадет в руки третьих лиц, эта БД может стать настоящей золотой жилой для шантажистов, мошенников,  вымогателей и киберпреступников в целом. В итоге может оказаться, что эта утечка затмит даже знаменитый взлом Ashley Madison.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)

  • Потому что не нужно данные, которые не нужны, даже собирать и хранить. Также не стоит провоцировать пользователя указывать (в т.ч. неявным способом - например, разрешая функцию геолокации) избыточные данные, от указания которых он ничего не получит. Иначе они рано или поздно могут утечь, это очевидно для долгосрочной перспективы. Хотя этого может не происходить годами и десятками лет, но всего лишь. Зачем создавать лишние проблемы, если их можно не создавать?

Похожие материалы