Утечка баз данных Boomoji из-за проблемы с конфигурацией

Утечка баз данных Boomoji из-за проблемы с конфигурацией

Незащищенный сервер ElasticSearchпривел к большой утечке данных популярного производителя приложений для аватаров,  Boomoji . Приложение, которое базируется в Китае и имеет 5,3 миллиона пользователей по всему миру, позволяет пользователям iOS иAndroid создавать 3D-аватары.

Согласно данным TechCrunch,  личные данные всей пользовательской базы были раскрыты после того, как Boomoji, по сообщениям, оставил две базы данных ElasticSearch незащищенными без пароля .

По словам Анурага Кахола,технического директора Bitglass, «в настоящее время существуют инструменты, предназначенные для обнаружения ошибочных конфигураций, таких как базы данных ElasticSearch. Из-за этих инструментов (и продолжающейся небрежности компаний в области кибербезопасности) злоупотребление неправильной конфигурацией приобрело популярность как вектор атаки во всех отраслях».

База данных, обслуживающая иностранных пользователей, была основана в США, а другая, обслуживающая китайских пользователей, была основана в Гонконге, чтобы соответствовать китайским законам о защите данных. Как сообщается, базы данных содержали имена пользователей, пол,страну, тип телефона, уникальный идентификатор Boomoji, геолокацию для 375 000 пользователей и запись в телефонной книге каждого пользователя, которая позволяла приложению получать доступ к их контактам.

Поскольку приложение предоставляет доступ к контактным данным, в дополнение к данным для 5,3 миллиона пользователей,контактная информация еще 125 миллионов человек, которые могут даже не знать, что приложение существует, также могла быть скомпрометирована. Даже если вы не использовали приложение, если кто-то из ваших знакомых использует его и хранит ваш номер телефона на своем устройстве, приложение, скорее всего, загрузило вашу контактную информацию в базу данных Boomoji.

«Это показывает, что большинство предприятий — даже масштабных провайдеров — не имеют адекватной видимости всей своей инфраструктуры и активов для обнаружения уязвимостей и пробелов в безопасности»,- сказал Джонатан Бенсен, исполняющий обязанности CISO и директор по управлению продуктами, Balbix .

«Незащищенные базы данных без защиты паролем — это достаточно простая проблема, которую нужно и можно решить, если компании постоянно следят за безопасностью своих активов».

Alt text

Владимир Безмалый

О безопасности и не только