Любой желающий мог получить доступ к серверу с персональными данными сотен тысяч пользователей сайтов знакомств.
Незащищенная паролем база данных предоставляла любому желающему персональные данные сотен тысяч пользователей сайтов знакомств.
Открытый сервер Elasticsearch был обнаружен в конце прошлого месяца специалистами из vpnMentor. Как оказалось, он принадлежит компании Mailfire, предоставляющей инструменты для online-маркетинга.
В открытой БД хранились копии push-уведомлений, отправленных некоторыми сайтами своим пользователям с помощью сервиса рассылки push-уведомлений Mailfire. БД содержала 882 ГБ лог-файлов, относящихся к push-уведомлениям, и эти логи обновлялись в режиме реального времени по мере рассылки новых уведомлений. В общей сложности лог-файлы содержали информацию по 66 млн уведомлений, отправленных за последние 96 часов, с персональными сведениями сотен тысяч пользователей.
По словам исследователей, push-уведомления относились к 70 различным сайтам, в том числе к online-магазинам и африканским рекламным сетям. Однако большая их часть была отправлена сайтами знакомств. Эти сайты обещают мужчинам найти молодых женщин из разных уголков мира, в частности из Восточной Европы и Восточной Азии. Несмотря на разные домены, все они принадлежат к одной сети.
Без сомнения, отправленные этой сетью уведомления представляют собой просто спам для того, чтобы пользователи возвращались на сайт. Хотя рассылка спама пользователям с помощью push-уведомлений не является проблемой, особенно, если они сами дали согласие на получение таких сообщений, в обнаруженных Mailfire уведомлениях использовались их личные данные.
На сервере Elasticsearch хранились копии уведомлений, содержащие «отладочную» область с персональной информацией получающих их пользователей. В частности, в «отладочной» области хранились имена, сведения о возрасте и половой принадлежности, адреса электронной почты, общие географические данные о местоположении и IP-адреса.
Кроме того, в уведомлениях были ссылки на профиль пользователя на случай, если он кликнет на сообщение. Ссылки также содержали ключи аутентификации, а это означает, что любой, у кого есть этот URL-адрес, мог получить доступ к профилю пользователя на сайте знакомств без пароля.
Спойлер: мы раскрываем их любимые трюки