Nieuws

Dating-apps lekken 845 gigabyte aan gevoelige foto's en berichten

maandag 15 juni 2020, 17:24 door Redactie, 5 reacties

Verschillende dating-apps, onder andere gericht op mensen met soa's en trio's, hebben 845 gigabyte aan gevoelige data gelekt. Het gaat om naaktfoto's en -filmpjes, audioberichten, privéchats, gebruikersnamen, financiële gegevens en persoonlijke details zoals e-mailadressen, geboortedata en echte namen. De data was voor iedereen op internet toegankelijk, zo ontdekten onderzoekers Noam Rotem en Ran Locar van vpnMentor.

De dating-apps, met namen als Herpes Dating, BBW Dating en 3somes, zijn allemaal ontwikkeld door een ontwikkelaar met de naam "Cheng Du New Tech Zone". De apps maken gebruik van Amazon S3-buckets voor de opslag van gegevens. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. In dit geval waren de instellingen aangepast waardoor de buckets wel voor iedereen benaderbaar waren.

Het ging in totaal om meer dan twintig miljoen bestanden. Hoeveel gebruikers door het datalek zijn getroffen is niet precies duidelijk, maar de onderzoekers schatten dat het in de honderdduizenden loopt. Naast gegevens van gebruikers vonden de onderzoekers ook adminwachtwoorden waarmee de Amazon Web Services-infrastructuur van de apps kon worden gecompromitteerd. De onbeveiligde S3-buckets werden op 24 mei ontdekt. De onderzoekers waarschuwden de ontwikkelaar op 26 mei en een dag later waren alle S3-buckets beveiligd.

Adobe voorziet Acrobat DC van Protected Mode-sandbox

Helft e-mail overheden kwetsbaar voor spoofing en afluisteren

Reacties (5)

15-06-2020, 23:02 door Anoniem

Amazon staat al niet zo hoog aangeschreven als het gaat om datalekken, privacy breaches en hun eeuwige loyaliteit aan spionagediensten.
Maar hun ict-vreemde betalende klanten schijnveiligheid bieden is toch echt een doodzonde. In dit geval schrijnend zelfs omdat Amazon hier met mensen te maken heeft die meestal geen andere keuze hebben mbt intimiteit.
Mag hopen dat ondanks de tijdelijke expose, de schade beperkt is/blijft voor die mensen. En anders een flinke bak smartengeld dmv een Amerikaanse rechter. Maar het blijft Amazon, dus helaas slechts mogelijk als de doelgroep collectief de rechtsgang inzet...

16-06-2020, 09:43 door Anoniem

Door Anoniem: Amazon staat al niet zo hoog aangeschreven als het gaat om datalekken, privacy breaches en hun eeuwige loyaliteit aan spionagediensten.
Maar hun ict-vreemde betalende klanten schijnveiligheid bieden is toch echt een doodzonde. In dit geval schrijnend zelfs omdat Amazon hier met mensen te maken heeft die meestal geen andere keuze hebben mbt intimiteit.
Mag hopen dat ondanks de tijdelijke expose, de schade beperkt is/blijft voor die mensen. En anders een flinke bak smartengeld dmv een Amerikaanse rechter. Maar het blijft Amazon, dus helaas slechts mogelijk als de doelgroep collectief de rechtsgang inzet...

Lol, deze vergelijking is hetzelfde als afgeven op Volkswagen omdat je iemand hebt zien rijden als een malloot in een Golf.

16-06-2020, 09:43 door Anoniem

Ik neem aan dat het bij de overgrote meerderheid van de S3-buckets goed gaat, maar de gevallen waar het fout gaat en ook meteen heel in het groot fout gaat laten zien dat er iets niet lekker zit. In de in het artikel gelinkte beschrijving van Amazon over beveiliging zie ik dit staan:

• Carefully consider your use case before granting Read access to the Everyone group because this allows anyone to access the bucket or object.
• Never allow Write access to the Everyone group. This setting allows anyone to add objects to your bucket, which you will then be billed for. This setting also allows anyone to delete objects in the bucket.

Het lijkt mij voor veel toepassingen een risico dat die "Everyone"-groep überhaupt bestaat. Als je het vergelijkt met een ouderwets, van de buitenwereld geïsoleerd bedrijfsnetwerk, dan is daar geen sprake van dat toegang voor iedereen meteen de hele wereld betreft, dat is toegang voor iedereen binnen het netwerk.

Ik denk dat Amazon er goed aan zou doen het onderscheid tussen publieke en beperkte toegang sterker te scheiden dan alleen via een instelling, maar het in te richten als een onderscheid in publieke buckets waarvan het de bedoeling is dat de hele wereld ze kan zien en besloten buckets waarin de mogelijkheid domweg ontbreekt en ook niet per ongeluk is in te stellen.

16-06-2020, 09:49 door Anoniem

Heb je het artikel wel helemaal gelezen? Standaard staat alles goed en veilig ingesteld, maar de gebruikers hebben de beveiliging aangepast. Waarom zou Amazon nu verantwoordelijk gesteld moeten worden? Als jij een ongeluk veroorzaakt met jouw auto, is het dan de schuld van RWS of de autofabrikant?

16-06-2020, 10:31 door Anoniem

Volgens mij lees jij het artikel dus niet goed:
Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. In dit geval waren de instellingen aangepast waardoor de buckets wel voor iedereen benaderbaar waren.

Dit is een actie van de beheerder van de app geweest om dit expliciet uit te zetten.

Misschien moet je toch maar even je aluminiumfolie hoedje pakken, want een rechtzaak op basis van eigen instellingen ga je sowieso verliezen. Ben het wel met je eens dat als er iets mis is bij Google/Amazon/Apple/Microsoft dat je een heel grote collectieve rechtzaak moet hebben.

Het bewustzijn over data/persoonsgegevens dient ook echt wel dringend bijgespijkerd te worden. Met het argument: "Ik heb niks te verbergen" heb je wat mij betreft het punt van deze hele maatschappij te pakken. Het gaat er niet om of je wat te verbergen hebt, je privacy is geschonden als die gegevens op straat liggen. Heel veel mensen staan niet stil bij het feit dat met een aantal gegevens je heel gemakkelijk identiteitsfraude kunt plegen en dit heel moeilijk te bewijzen valt. Daarnaast is ook met deze medische gegevens je vertrouwen geschaad.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Dating-apps lekken 845 gigabyte aan gevoelige foto's en berichten

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren