برنامه پیشگیری از سوء استفاده خانگی قربانیان را در نقض گسترده داده ها قرار می دهد

تیم تحقیقاتی vpnMentor ، به سرپرستی تحلیلگران مشهور نوام روتم و ران لوکار ، اخیراً یک نقض داده فوق العاده حساس را که ناشی از برنامه پیشگیری از خشونت خانگی Aspire News App است ، کشف کرد.

ساخته شده توسط غیرانتفاعی ایالات متحده هنگامی که جورجیا لبخند زد ، برنامه Aspire News را می توان روی تلفن کاربر نصب کرد تا به عنوان یک برنامه خبری ظاهر شود. با این حال ، همچنین دارای یک بخش کمک اضطراری با منابعی برای قربانیان سوء استفاده خانگی ، از جمله عملکردی برای ارسال پیام های اضطراب اضطراری به یک شخص مخاطب مورد اعتماد است.

این پیام های پریشانی را می توان از طریق [ضبط صدا] ارسال کرد. ، با اطلاعات یک قربانی ، آدرس خانه ، ماهیت اضطراری و موقعیت فعلی آنها. توسعه دهندگان برنامه Aspire News بیش از 4000 ضبط صدا را در یک سطل مخلوط تنظیم شده سرویس وب سایت آمازون (AWS) آمازون (AWS) S3 ذخیره کرده بودند ، و امکان مشاهده و بارگیری هر پرونده را ، مشابه یک پوشه ذخیره سازی ابری ، فراهم می آورد.

اگرچه اکنون امن شده است ، این نقص داده ها حاکی از افت قابل توجهی در امنیت داده های اصلی توسط برنامه Aspire News و When Georgia (لبخند) لبخند زد .

هر نقص داده ، درجه ای از خطر را برای افراد مبتلا ایجاد می کند. با این حال ، برنامه ساخته شده برای قربانیان سوء استفاده خانگی ، مسئولیت بسیار بیشتری در برابر کاربران خود دارد. برنامه Aspire News برای محافظت از قربانیان ساخته شده است ، اما این برنامه با محافظت از هویت خود ، آنها را در معرض خطر قرار داده است.

این نقض داده ها درسی است برای همه توسعه دهندگان ، به ویژه کسانی که برنامه هایی برای سوءاستفاده داخلی ایجاد می کنند. قربانیان یا سایر گروههای در معرض خطر ، این حریم خصوصی داده ها باید همیشه در اولویت باشد.

خلاصه اطلاعات نقض اطلاعات

سازمان برنامه Aspire News ، هنگامی که جورجیا لبخند زد
دفتر مرکزی کالیفرنیا ، ایالات متحده
صنعت غیر انتفاعی
اندازه داده تقریبا. 230MB
مشکوک شماره. پرونده ها 4،000+ ضبط
شماره. افراد در معرض ناشناخته (بالقوه 4000 +)
محدوده تاریخ سپتامبر 2017 – حاضر
دامنه جغرافیایی USA
انواع داده های در معرض ضبط پیام های اضطراری توسط قربانیان خشونت خانگی ؛
برخی از آنها اطلاعات PII مانند نام ، آدرس منزل ،
و نام افراد / تجاوز کنندگان خشونت را فاش می کنند
تأثیر احتمالی خطر جسمی اگر قربانیان آشکار شوند ؛
باج خواهی برای کسانی که نمی خواهند آنرا فاش کنند
قالب ذخیره سازی داده سطل AWS S3

پروفایل شرکت

برنامه Aspire News توسط ساخته شد وقتی جورجیا لبخند زد ، غیر انتفاعی توسط شخصیت های تلویزیون آمریکایی رابین مک گراو و همسرش "دکتر Phil "McGraw.

When Georgia لبخند زد برای کمک به" پیشبرد سازمان ها و برنامه هایی که به قربانیان خشونت خانگی ، تجاوز جنسی ، کودک آزاری و افراد در معرض بحران برای تأمین زندگی سالم ، ایمن و سرشار از شادی تأسیس شده است. زندگی می کند. "

برنامه Aspire News فقط بخشی از این مأموریت گسترده تر است. ساخته شده برای ظاهر شدن به عنوان یک برنامه خبری و سرگرمی ، برنامه Aspire News برای محافظت از قربانیان داخلی ، آموزش آنها در مورد روابط سوءاستفاده و پشتیبانی در دسترس قربانیان ، و کمک به آنها برای ارسال پیام های اضطراب اضطراری به مخاطبین مورد اعتماد است.

مخاطبین قابل اعتماد اضافه شد. در برنامه می توانید با یا بدون اطلاعات موقعیت مکانی کاربر هشدار داده شوید.

بر اساس بررسی های کاربران ، نسخه iOS و Android هر دو برنامه Aspire News دارای موضوعات فنی عمده ای هستند که استفاده از آن دشوار است. کاربران همچنین نقص طراحی و ویژگی های برنامه را برجسته کرده اند که در واقع افراد را در روابط سوء استفاده کننده به خطر می اندازد.

Timeline of Discovery and Reaction Owner

بعضی اوقات ، میزان نقض داده ها و صاحب داده ها آشکار است ، و مسئله به سرعت حل شد. اما این اوقات نادر است. بیشتر اوقات ، ما به روزهای تحقیق نیاز داریم تا بدانیم چه چیزی در معرض خطر است یا چه کسی اطلاعات را در معرض نمایش قرار داده است.

شناخت یک نقض و تأثیر احتمالی آن ، دقت و زمان زیادی را به خود می گیرد. ما برای انتشار گزارش های دقیق و قابل اعتماد تلاش می کنیم ، و اطمینان می دهیم که هر کسی که آنها را می خواند ، جدی بودن خود را می فهمد.

برخی از طرف های تحت تأثیر ، حقایق را انکار می کنند ، به تحقیقات ما بی توجه هستند ، یا تأثیر آن را بازی نمی کنند. بنابراین ، ما باید کاملاً دقیق باشیم و اطمینان حاصل کنیم که هرچه پیدا می کنیم صحیح و دقیق است.

در این مورد ، ضبط شده های صوتی در معرض سطل AWS S3 در دسترس عموم ، یک شکل محبوب ابر ذخیره شد. ذخیره سازی داده ها.

با توجه به ماهیت حساس ، ما برای شناسایی سریع صاحب داده ها تلاش کردیم و به سازمانهای متصل به برنامه دسترسی پیدا کردیم: When Georgia Georgia لبخند زد و بنیاد دکتر Phil.

در حالی که منتظر پاسخ سازمان های مسئول برنامه Aspire News هستیم ، ما همچنین با AWS به طور مستقیم با تماس گرفتیم تا آنها را از این تخلف مطلع کنیم.

در آخر ، ما با زاک ویتاکر در Techcrunch تماس گرفتیم ، که تأیید کرد

سرانجام ، ما ایمیلی را از AWS دریافت کردیم که می گفت با صاحبان داده ها تماس گرفته و مسئله را با آنها مطرح می کنیم.

اندکی پس از آن ، این نقض بسته شد.

  • تاریخ کشف: 24 ژوئن 2020
  • با فروشندگان تاریخ تماس گرفت: 24 ژوئن 2020
  • تاریخ آمازون با 24 ژوئن 2020
  • تاریخ پاسخ: از آمازون: 24th ژوئن 2020
  • تاریخ عمل (امنیت داده ها): 24 ژوئن 2020

نمونه ورود در سطل S3

سطل در معرض S3 بصورت زنده بود ، و ضبط های صوتی جدید نیز به تازگی در 23 آپلود شد. ژوئن (روز قبل از کشف ب رسیدن). در برخی روزها ، حداکثر 10 پرونده توسط کاربران بارگذاری می شد.

هر یک از این ضبط های صوتی می توانست را به راحتی با آدرس URL سطل S3 توسط هر کسی گوش و بارگیری کند.

ضبط های صوتی را که نمونه برداری کردیم ، قربانیان اطلاعات بسیار حساس در مورد شخصیتی (PII) را در مورد خود و شرکای خود ، اعضای خانواده یا سوء استفاده کنندگان نشان داد. اینها شامل موارد زیر است:

  • نام و نام خانوادگی قربانیان
  • جزئیات شرایط اضطراری و یا شرایط شخصی آنها
  • نام افراد و اطلاعات شخصی سوء استفاده كنندگان

در زیر عبارت نسخه های گرفته شده از دو ضبط در سطل S3 برنامه Aspire News:

 نمونه پیام راهنمایی ارسال شده در برنامه

 مثال 2 درخواست کمک

در کل ، ما بیش از 4000 ضبط صدا در سطل S3 مخفی شده Aspire News را پیدا کردیم.

نمونه هایی که ما به آنها گوش دادیم به نظر می رسد از قبل ضبط شده ، به احتمال زیاد وقتی قربانی فقط چند دقیقه تنها داشت و به ضبط و ذخیره سریع پیام پریشانی نیاز داشت. آنها سپس می توانند با فشار دادن یک دکمه روی برنامه ، پیام ذخیره شده را فوراً به تماس اضطراری ارسال کنند.

این برجسته شرایط شدید را که تحت آن قربانیان سوءاستفاده خانگی زندگی می کنند ، و خطر جسمی واقعی اگر آنها در جستجوی کمک از خارج از خانه باشند.

علاوه بر این ، پس از ماه ها توقیف در دولت توسط ایالات متحده ، خیریه های سوءاستفاده داخلی ، ادارات پلیس و آژانس های دولتی افزایش چشمگیری را در کشور ثبت کرده اند. موارد خشونت گزارش می شود.

با قربانیان زیادی که مجبور شده اند برای مدت طولانی غیرمعمول با افراد متخلف بمانند و قادر به دسترسی به پشتیبانی نباشند ، برنامه ای مانند برنامه Aspire News یک مادام العمر حیاتی است. این امر توسط تعداد زیاد پیامهای که به طور روزانه در کل در ماه ژوئن بارگذاری می شود ، مشهود است.

اما ، با عدم ایمن سازی این ضبط های صوتی ، توسعه دهندگان به طور بالقوه ناخواسته قربانیان را حتی در معرض خطر بیشتری قرار می دهند.

تأثیر

برای کاربران برنامه Aspire News

این نقض داده می تواند یک خطر جسمی واقعی برای کاربران ایجاد کرده باشد. اگر ضبط ها به عموم مردم فاش می شد ، هرکسی که با شریک زندگی توهین آمیز زندگی می کند می تواند به دلیل تلاش برای ترک یا گزارش آنها به مقامات ، با مجازات روبرو شود.

حتی اگر شخصی از یک رابطه سوءاستفاده فرار کرده بود ، اما یک پیام پریشانی از طریق Aspire News ارسال کرده بود. ، آنها می توانند با انتقام جویی توسط شرکای سابق مواجه شوند زیرا به طور غیرمستقیم در معرض سوء استفاده از آنها قرار می گیرند.

همچنین نقض داده ها باعث ایجاد ضربه های عمیق در یک قربانی از سوء استفاده خانگی شد و آنها را مجبور به سوءاستفاده از سوء استفاده قبلی کرد

متأسفانه چنین نتیجه ای می تواند منجر به احساس شرم و انزوا شود ، اگر سوء استفاده از یک قربانی مخفی نگه داشته می شد و اکنون در معرض دوستان ، خانواده ، همکاران و عموم مردم قرار می گرفت.

نگران کننده تر از همه ، هکرهای مخرب یا جنایتکار به این ضبط ها دسترسی داشتند ، می توان آنها را علیه قربانیان و سوء استفاده کنندگان اسلحه کرد تا به دنبال اقدامات باج گیری و اخاذی باشند.

ویرانی ناشی از چنین نتیجه ای را نمی توان زیاده روی کرد ، سلامتی ، بهزیستی عاطفی و امنیت همه کسانی را که تحت تأثیر قرار می گیرند ، به خطر می اندازد.

برای برنامه Aspire News

وقتی جورجیا لبخند زد و توسعه دهندگان از برنامه Aspire News می تواند به دلیل مرتکب چنین خطای اساسی و محافظت از کاربران آن ، با دقت و انتقاد قابل توجهی روبرو شود.

بدون شک تبلیغات در مورد نقض داده ها روی پشتیبان های مشهور برنامه – دکتر فیل و همسرش متمرکز خواهد شد. ، رابین مک گرا – توجه بیشتر مطبوعات به این نقض.

و همچنین تبلیغات عمومی ، هنگامی که جورجیا لبخند زد همچنین می تواند با تحقیقات و ممیزی از سازمان های دولتی ایالات متحده نگران احساسات بسیار حساس باشد. ماهیت داده های در معرض.

با این حال ، بدترین حالت برای هنگامی که جورجیا لبخند زد ممکن است کاربران را از دست بدهد. اگر قربانیان سوء استفاده داخلی با استفاده از برنامه احساس امنیت نمی کنند ، دیگر این کار را نمی کنند. نتیجه؟ [تعدادقربانیانکمتریدرحالفرارازروابطناسازگارهستند

برنامه Aspire News با حفظ نکردن استانداردهای بالاتر برای حفظ حریم خصوصی داده ها ، مانع از مأموریت خود شد. ضبط های مشتریان اگر اقدامات امنیتی اساسی برای محافظت از آنها انجام داده باشد. اینها شامل می شوند ، اما به این موارد محدود نمی شوند:

  1. اجرای قوانین دسترسی مناسب ، غیرفعال کردن لیست پرونده ها در سطل.
  2. پیکربندی سطل ها فقط به درخواست های معتبر برای بارگیری پرونده ها اجازه می دهد.
  3. رمزگذاری داده های حساس ذخیره شده در سطل.

هر شرکتی می تواند همان مراحل را بدون توجه به اندازه آن ، همان مراحل را تکرار كند.

برای راهنمایی بیشتر درباره نحوه محافظت از مشاغل خود ، راهنمای ما را برای تأمین امنیت وب سایت و داده های آنلاین از هکرها بررسی کنید.

تأمین یک سطل باز S3

توجه به این نکته مهم است كه سطل های S3 با دید باز و عمومی ، عیب AWS نیستند. آنها معمولاً نتیجه خطایی توسط صاحب سطل هستند. آمازون دستورات مفصلی را در اختیار کاربران AWS و هشدارها در هنگام تنظیم مجدد سطل قرار می دهد تا به آنها کمک کند تا سطل های S3 را ایمن سازند و آنها را به صورت خصوصی حفظ کنند.

در مورد برنامه Aspire News ، سریعترین راه برای رفع این خطا این است: [19659055] سطل را خصوصی کنید و پروتکل های احراز هویت را اضافه کنید.

  • بهترین روش های دسترسی و احراز هویت AWS را دنبال کنید.
  • لایه های بیشتری از محافظت را به سطل S3 خود اضافه کنید تا محدودیت بیشتری داشته باشد که می تواند از هر نقطه ورود به آن دسترسی داشته باشد.
  • ضبط های ضبط شده در سطل AWS را رمزگذاری کنید ، به طوری که حتی اگر یک مهمانی به پرونده ها دسترسی پیدا کند ، آنها بی فایده خواهند بود.
  • برای کاربران برنامه Aspire News

    اگر شما یا شخصی که می شناسید از Aspire News استفاده می کند. برنامه ، و شما در مورد اینکه چگونه این نقض ممکن است روی شما تأثیر بگذارد نگران هستید ، با [ تماس بگیرید [هنگامیکهجورجیالبخندزد را مستقیماً تعیین کنید که چه گام هایی برای محافظت از داده های شما برداشته است.

    برای کسب اطلاعات در مورد آسیب پذیری های داده به طور کلی ، ما را بخوانید. راهنمای کامل به صورت آنلاین حریم خصوصی.

    این به شما نشان می دهد که بسیاری از مجرمان سایبری کاربران اینترنت را هدف قرار می دهند ، و مراحلی را که می توانید برای ایمن ماندن بردارید ، انجام می دهد.

    چگونه و چرا ما این نقض را کشف کردیم

    تیم تحقیقاتی vpnMentor نقض اطلاعات برنامه Aspire News را کشف کرد. به عنوان بخشی از یک پروژه نقشه برداری گسترده وب. محققان ما از اسکن بندر برای بررسی بلوک های خاص IP استفاده می کنند و سیستم های مختلفی را برای ضعف یا آسیب پذیری آزمایش می کنند. آنها هر ضعف را برای هر گونه اطلاعات در معرض بررسی قرار می دهند.

    تیم ما توانست این سطل S3 را پیدا کند زیرا کاملاً نا امن و رمزگذاری نشده است.

    هر وقت یک نقص داده ای را پیدا کردیم ، ما از تکنیک های متخصص استفاده می کنیم. برای تأیید صاحب اطلاعات .

    به عنوان هکرهای اخلاقی ، ما هنگام کشف اشکالات در امنیت آنلاین آنها ، ما موظفیم به یک شرکت اطلاع دهیم. ما به همه کسانی که در این برنامه درگیر هستند ، دسترسی داشتیم ، نه تنها به آنها اجازه دهید از آسیب پذیری آگاه شوند بلکه راه هایی برای ایمن سازی سیستم خود ارائه دهند.

    این اخلاق همچنین به این معنی است که ما مسئولیت وظیفه خود را بر عهده داریم. کاربران برنامه Aspire News باید از نقض اطلاعاتی که اطلاعات زیادی از اطلاعات حساس آنها را در معرض دید خود قرار می دهد ، آگاه باشند.

    معرفی جعبه نشت

    برای اطمینان از مهمترین تأثیرگذاری ماموریت ما ، ما نیز Leak Box را ساختیم.

    میزبان در وب تاریک ، Leak باکس به هکرهای اخلاقی اجازه می دهد هرگونه نقص داده ای را که بصورت آنلاین پیدا می کنند به صورت ناشناس گزارش دهند. سپس ما هر گونه ارائه ای را كه تهدیدی برای امنیت مردم تلقی می شود را تأیید و گزارش می كنیم.

    ما هرگز اطلاعاتی را كه در طول تحقیقات امنیتی ما با آنها روبرو هستیم ، نمی فروشیم ، ذخیره می كنیم یا در معرض نمایش قرار نمی دهیم. این شامل اطلاعاتی است که از طریق Leak Box به ما گزارش شده است.

    درباره ما و گزارش های قبلی

    vpnMentor بزرگترین وب سایت بررسی VPN در جهان است. آزمایشگاه تحقیق ما یک سرویس تبلیغاتی خوب است که می کوشد در حالی که به سازمان های مربوط به محافظت از داده های کاربران خود آموزش می دهد ، به جامعه آنلاین کمک کند تا در برابر تهدیدات سایبری دفاع کند.

    تیم تحقیقاتی امنیت اخلاقی ما برخی از مهمترین نقض داده ها را کشف و فاش کرده است. سالهای اخیر.

    این شامل نقض عظیمی از داده های 100،000s کاربران برنامه های دوستیابی طاقچه است. ما همچنین فاش کردیم که یک بستر یادگیری الکترونیکی باعث تضعیف حریم خصوصی و امنیت مشتریان در سراسر جهان شده است. همچنین ممکن است بخواهید گزارش گزارش نشت VPN ما و گزارش های آمار حریم خصوصی داده ها را بخوانید.

    یادداشت سردبیر: ما می خواهیم کمکی را که از زاک ویتاکر ، سردبیر امنیت دریافت کردیم ، تصدیق کنیم. TechCrunch ، در تماس با سازمان پشت برنامه Aspire News و کمک به ما اطمینان حاصل می کند که سطل تنظیم شده اشتباه در کمتر از 24 ساعت ایمن شده است.

    اگر خشونت خانگی را تجربه می کنید ، یا کسی را که به کمک نیاز دارد ، می شناسید. بدانید که شما منابع در دسترس دارید در هر زمان ، و کشور شما دارای یک خط داغ ملی برای حمایت از شما است.

    برای ساکنان ایالات متحده ، خط تلفن ملی خشونت خانگی (1-800 -799-7233) 24/7 رایگان و در دسترس است. اگر خود را در موقعیت خطرناکی قرار داده اید که به کمک فوری احتیاج دارد ، با شماره 911 تماس بگیرید.

    برنامه های دوستیابی Niche 100000 هزار کاربر را در نقض گسترده داده ها قرار می دهد

    به رهبری نوام روتم و ران لوکار ، تیم تحقیقاتی vpnMentor یک نقض داده را کشف کرد که تصاویر فوق العاده حساس را از برنامه های بی شماری برای آشنایی با برنامه ها و برنامه های ارتباط برقرار کرد.

    مانند 'Cougars' ، تاریخ ملاقات های عجیب و غریب ، شرط بندی ، و رابطه جنسی گروهی. حداقل یک برنامه به افراد مبتلا به STI ، مانند تبخال اختصاص داده شده است.

    بر اساس تحقیقات ما ، برنامه ها یک توسعه دهنده مشترک دارند. در نتیجه ، رسانه های کاربر از هر برنامه در یک حساب وب سرویس های آمازون (AWS) ذخیره شده اند.

    گذشته از میلیونها کاربر برنامه را در معرض خطر قرار دهد ، این نقض را نیز در معرض نمایش قرار داد. کل زیرساخت های AWS برنامه های مختلف از طریق اعتبار و رمزعبورهای سرپرست نا امن.

    خلاصه اطلاعات نقض اطلاعات

    برنامه ها 3somes ، Cougary ، Gay Daddy Bear ، Xpal ، BBW Dating ، Casualx، SugarD، Herpes Dating
    دفتر مرکزی / موقعیت مکانی چین و ایالات متحده آمریکا
    صنعت برنامه های دوستیابی
    اندازه کل داده ها در گیگابایت 845 GB
    تعداد کل پرونده ها 20،439،462
    No. دامنه افراد در معرض تخمین زده می شود 100000s
    دامنه جغرافیایی ایالات متحده و کشورهای دیگر
    انواع داده های در معرض عکس ، شامل. بسیاری از ماهیت های گرافیکی ، جنسی. عکسهای چت خصوصی و معاملات مالی. ضبط صدا؛ داده های PII محدود
    تأثیر احتمالی کلاهبرداری ، جعل ، جعل ، اخاذی ، حمله ویروسی ، و هک کردن
    قالب ذخیره سازی داده سطل AWS S3

    نمای کلی برنامه های تحت تأثیر

    حساب AWS اشتباه تنظیم شده اطلاعات موجود متعلق به مجموعه گسترده ای از برنامه های دوستیابی طاقچه و طعنه است.

    اینها شامل می شوند:

    بر اساس تحقیقات ما ، به نظر می رسد برنامه ها یک توسعه دهنده مشترک ، را به دلایل زیر به اشتراک می گذارند. :

    • Gaydaddybear.com در یک حساب کاربری AWS همانند Ghuntapp.com
    • نامگذاری شده است ، طراحی وب ، آرم های مختلف در وب سایت های برنامه های مختلف
    • برخی از برنامه ها عنوان "Cheng Du New Tech Zone" را به عنوان یک توسعه دهنده میزبان در فروشگاه برنامه Google

    شباهت های طراحی برای بسیاری از برنامه ها در وب سایت های آنها مشهود است:

     زنان زیبا و زیبا ، وب سایت برنامه نویسی زنانه

     وب سایت برنامه نویسی شکر d

    Timeline of Discovery and Reaction Owner

    گاهی اوقات ، میزان نقض داده ها و مالک داده ها واضح است ، و مسئله به سرعت حل شد اما این اوقات نادر است. بیشتر اوقات ، ما به روزهای تحقیق نیاز داریم تا بدانیم چه چیزی در معرض خطر است یا چه کسی اطلاعات را فاش می کند.

    درک یک نقض و تأثیر احتمالی آن ، دقت و زمان زیادی را به خود می گیرد. ما برای انتشار گزارش های دقیق و قابل اعتماد تلاش می کنیم ، و اطمینان می دهیم که هر کسی که آنها را می خواند ، جدی بودن خود را می فهمد.

    برخی از طرف های تحت تأثیر حقایق را انکار می کنند ، تحقیقات ما را نادیده می گیرند ، یا تأثیر آن را کم نمی کنند. بنابراین ، ما باید کاملاً دقیق باشیم و اطمینان حاصل کنیم که همه چیزهایی که می یابیم صحیح و دقیق است.

    در این مورد ، پرونده های هر برنامه در یک سطل مخلوط AWS S3 مخفی ، به صورت مشترک ، به اشتراک گذاشته شد. حساب AWS. سطل های S3 پس از برنامه ی دوستیابی که از آن سرچشمه می گرفت نامگذاری شدند. ما در ابتدا فقط به یک – 3 نفر رسیدیم تا یافته های خود را ارائه دهیم.

    3somes به سرعت پاسخ داد ، و درخواست جزئیات بیشتر در مورد نقض. ما با ارائه نشانی اینترنتی سطل تنظیم شده آنها پاسخ دادیم و ذکر کردیم که سایر سطل های متعلق به شرکت های خواهر مشهور آنها نیز باز هستند (بدون اینکه بگوییم کدام یک).

    اگرچه ما هیچ ارتباط دیگری دریافت نکردیم ، در همان روز ، همه سطل های متعلق به هر برنامه دیگر نیز تأیید شده اند و فرضیه ما درباره توسعه دهنده مشترک را تأیید می کنند.

    • تاریخ کشف: 24 مه 24
    • تاریخ 3 روز با ما تماس گرفت: 26 مه 20 [19659031] تاریخ پاسخ: بیست و هفتم ماه مه 2020
    • تاریخ عمل: بیست و هفتم ماه مه 2020

    نمونه ورود اطلاعات

    سطل های S3 ترکیبی موجود در تعداد بسیار زیادی از داده ها ، با بیش از 20 میلیون پرونده در کل 845 گیگابایت.

    پرونده ها بسیار حساس بودند ، از حساب کاربری بارگذاری شدند ، و با افشای جزئیات پروفایل های کاربر و مکالمات خصوصی در برنامه ها.

    پرونده های رسانه ای ، مانند :

    • تصاویر و عکس ها
    • پیام های صوتی و ضبط های صوتی

    در میان تصاویر و عکس های کاربران ، سطل های S3 همچنین حاوی تصاویری بود که نشان می داد مقدار زیادی از اطلاعات حساس. این موارد عبارتند از:

    • گپ های خصوصی بین کاربران
    • شواهدی از معاملات مالی بین کاربران
    • پیامهای تشکر شده به پدران قند

    در حالی که سطل های S3 حاوی اطلاعات شخصی شناسایی نشده (PII) نبود ، بسیاری از پرونده های رسانه ای ، به طور مستقیم و غیرمستقیم ، اشکال مختلفی را در معرض نمایش قرار می دهند:

    • عکس هایی با چهره قابل مشاهده
    • نام کاربران
    • اطلاعات شخصی
    • داده های مالی

    به دلایل اخلاقی ، ما هرگز مشاهده و بارگیری هر پرونده ذخیره شده در یک پایگاه داده نقض شده یا سطل AWS. در نتیجه ، محاسبه تعداد افراد در این نقض داده دشوار است ، اما ما تخمین می زنیم که حداقل 100000s بود – اگر نه میلیون ها نفر.

    تصاویر زیر از سطل های S3 متعلق به برنامه های مختلف گرفته شده است. در حساب AWS آنها برای حفظ حریم شخصی کاربران ویرایش شده اند.

     عکس پیام تشکر از شما برای برنامه بابا شکر

     عکس پروفایل Xpal [19659071] عکس پروفایل Xpal

     برنامه یابی دوست با شکر پیام خصوصی

     عکس پروفایل برنامه یابی

     شکر بابا عکس پروفایل پروفایل برنامه یابی

     برنامه دوستیابی صفحه چت خصوصی

     مانع از عکس پروفایل برنامه برنامه نویسی

     معامله پرداخت بابا شکر

    تأثیر نقض داده

    اگرچه داده های برنامه های مربوط به دوستیابی و پشتیبانی از آن همیشه حساس و خصوصی هستند ، کاربران برنامه های در معرض این نقض داده ها به ویژه در برابر اشکال مختلف حمله ، زورگویی و موارد دیگر آسیب پذیر هستند.

    در حالی که ارتباطات توسط افراد در رابطه با "پدر با شکر" ، رابطه جنسی گروهی ، وصل کردن ، و برنامه های ملاقات شرعی کاملاً قانونی و اجماع شده است ، [هکرهایجنایییامخرب می توانند از آنها در برابر کاربران سوء استفاده کنند تا اثر مخرب داشته باشند.

    با استفاده از تصاویر از برنامه های مختلف ، هکرها می توانند پروفایل های جعلی را برای برنامه های دامداری ، برای جعل و سوء استفاده از کاربران ناخواسته ایجاد کنند.

    هرگونه داده PII در معرض خطر خطرات بسیار بیشتری را برای کاربران ایجاد می کند. با توجه به ماهیت بسیاری از این برنامه ها – در برخی موارد شامل معاملات مالی ، شرط بندی و STI – با حضور شما در برنامه ، می توانست استرس بی نظیری را در زندگی شخصی شما ایجاد کند.

    با آگاهی از این ، هکرها می توانند از تصاویر حاوی PII برای یافتن کاربران در رسانه های اجتماعی و تهدید به "افشای" فعالیت های خود در ملاء عام ، برای دوستان و خانواده استفاده کنید. متأسفانه ، این نوع باج گیری و اخاذی می تواند بسیار سودآور باشد.

    با وجود تعداد زیادی کاربر از هر برنامه ای که در نقض داده ها قرار دارد ، مجرمان فقط باید تعداد کمی از مردم را متقاعد کنند تا هزینه آنها را بپردازد. [18659004] با انجام این کار ، آنها می توانند روابط بسیاری از افراد و زندگی شخصی و شخصی را از بین ببرند.

    مشاوره از متخصصان

    برنامه نویسان برنامه های دوستیابی می توانند به راحتی اگر برخی اقدامات امنیتی اساسی را برای محافظت از داده های در معرض اقدام کرده بودند ، از این نشت اجتناب می کردند. اینها شامل می شوند ، اما به این موارد محدود نمی شوند:

    1. تأمین سرورهای آن.
    2. اجرای قوانین دسترسی مناسب.
    3. هرگز سیستمی را که نیاز به تأیید اعتبار نداشته باشد ، باز نگذارید.

    هر شرکتی می تواند نسخه دیگری را تکرار کند.

    برای یک راهنمای عمیق تر درباره نحوه محافظت از مشاغل خود ، راهنمای ما برای تأمین وب سایت و پایگاه داده آنلاین خود را از هکرها بررسی کنید.

    تهیه یک سطل باز S3

    ذکر این نکته حائز اهمیت است که سطلهای باز ، که در دسترس عموم است عیب AWS نیست. آنها معمولاً نتیجه خطا توسط صاحب سطل هستند. آمازون دستورالعمل های مفصلی را در اختیار کاربران AWS قرار می دهد تا به آنها کمک کند تا سطل های S3 را ایمن سازند و آنها را به صورت خصوصی حفظ کنند.

    در مورد برنامه های دوستیابی ، سریعترین راه برای رفع این خطا این است:

    • سطل را خصوصی کنید و تأیید اعتبار کنید.
    • بهترین روش های دسترسی و تأیید اعتبار AWS را دنبال کنید.
    • برای محافظت بیشتر در دسترسی به سطل S3 خود ، به سطوح بیشتری از محافظت در سطل S3 خود اضافه کنید.

    برای کاربران برنامه های کاربردی

    اگر استفاده می کنید. هر یک از برنامه ها نشان داده شده و نگران این هستند که چگونه ممکن است این نقض شما را تحت تأثیر قرار دهد ، مستقیماً با توسعه دهندگان تماس بگیرید تا بدانید چه اقداماتی را برای محافظت از داده های شما انجام می دهد.

    برای کسب اطلاعات در مورد آسیب پذیری داده ها به طور کلی ، ما را بخوانید. راهنمای کامل برای حفظ حریم خصوصی آنلاین.

    این به شما نشان می دهد که بسیاری از مجرمان سایبری کاربران اینترنت را هدف قرار می دهند ، و مراحلی را که می توانید برای ایمن ماندن استفاده کنید ، نشان می دهد.

    چگونه و چرا ما نقض آن را کشف کردیم

    کشف این نژاد دسترسی به حساب AWS برنامه های دوستانه به عنوان بخشی از یک پروژه عظیم نقشه برداری وب. محققان ما از اسکن بندر برای بررسی بلوک های خاص IP استفاده می کنند و سیستم های مختلفی را برای ضعف یا آسیب پذیری آزمایش می کنند. آنها هر ضعف را برای هر گونه اطلاعاتی كه فاش می شود ، بررسی می كنند.

    تیم ما قادر به دستیابی به این سطل است زیرا كاملاً نا امن و رمز نشده است.

    هر وقت نقص داده ها را پیدا كردیم ، ما از روشهای كارشناسی استفاده می كنیم تا صاحب بانک اطلاعات را تأیید کنید.

    به عنوان هکرهای اخلاقی ، ما هنگام کشف نقص در امنیت آنلاین آنها ، ما موظف هستیم به یک شرکت اطلاع دهیم. ما به توسعه دهندگان دسترسی پیدا کردیم ، نه تنها آنها را در مورد آسیب پذیری آگاه سازیم بلکه راه هایی را ارائه می دهیم که بتوانند سیستم خود را ایمن سازند.

    این اخلاق همچنین به این معنی است که ما مسئولیت مسئولیت را برعهده مردم داریم. ] کاربران برنامه ها باید از نقض داده ای آگاهی داشته باشند که اطلاعات زیادی را در معرض خطر قرار دهد.

    هدف از این پروژه نقشه برداری وب کمک به کمک به اینترنت برای همه کاربران امن تر است.

    ما هرگز اطلاعاتی را که در طول تحقیقات امنیتی ما با آنها روبرو می شویم ، ذخیره یا ذخیره نکنید

    درباره ما و گزارش های قبلی

    vpnMentor بزرگترین وب سایت بررسی VPN در جهان است. آزمایشگاه تحقیق ما یک سرویس تبلیغاتی خوب است که می کوشد در حالی که به سازمان های مربوط به محافظت از داده های کاربران خود آموزش می دهد ، به جامعه آنلاین کمک کند تا از خود در برابر تهدیدات سایبری دفاع کند.

    تیم تحقیقاتی امنیت اخلاقی ما برخی از تأثیرگذارترین نشت داده ها را کشف و فاش کرده است. سالهای اخیر.

    این شامل نشت عظیمی از داده ها است که در معرض کارتهای اعتباری ، شناسنامه های دولتی و تعداد بیشتری از شهروندان آمریکایی قرار دارد. ما همچنین فاش كردیم كه یك بستر یادگیری محبوب آنلاین ، حریم خصوصی و امنیت افراد در سراسر جهان را به خطر می اندازد. همچنین ممکن است بخواهید گزارش نشت VPN ما و گزارش آمار حفظ حریم خصوصی داده ها را بخوانید.

    بسته نرم افزاری برنامه نویسی کامل است گسترده برنامه نویسی کلاس آموزش

     کامل برنامه نویسی بسته نرم افزاری آن است ساعت معامله جدی است که تراکم AA و فرصت بزرگ برای باز کردن درب به هر نوع برنامه نویسی حرفه ای شما تصمیم به دنبال.

    اگر شما از کجا شروع مطمئن نیستید که برنامه ریزی سفر ، این مکان برای شروع است. آسان به در آن زبان ، یادگیری آویزان کنید و یا که بهترین وجه مناسب اهداف شغلی خود را. آن وسوسه انگیز برای استفاده از این انتخاب به آینده خود را در حالی که نادیده گرفتن و کار شما اجرا میلی بازگشت به است.

    اجازه ندهید که این مانع روانی شما نگه بازگشت. کامل جلو به عقب پایان برنامه نویسی بسته نرم افزاری امکان غرق خود را در تمام برنامه نویسی زبانهای سرعت خود شما فراهم می سازد.

    درس به راحتی قابل فهم برای حتی بزرگترین مبتدی برنامه نویسی.

    این کیت آموزش گسترده است. هزاران ساعت و 1،500 دلار ارزش منجر به کارشناس آموزش گام به گام را پوشش می دهد طیف کاملی از جلو به عقب پایان برنامه نویسی. Django اسکالا طرح لینوکس پایتون C, یاقوت فقط برخی از زبان های متداول گنجانده شده است. هر یک به درس به راحتی قابل فهم برای حتی برنامه نویسی مبتدی بزرگترین شکسته.

    آیا شما دنبال آن هستید برای رفتن به وب ، توسعه نرم افزار و یا نرم افزار ، دلیل خوبی برای رویکرد گسترده ای مانند این وجود دارد. زبان های برنامه نویسی مکمل یکدیگر، پس یکی یادگیری یادگیری دیگر بسیار آسان تر می کند. این غیر معمول برای پروژه نیاز به دانش بیشتر از یک کد است.

    کامل برنامه نویسی بسته نرم افزاری در یک نگاه:

    • درک چگونه توسعه وب کار می کند.
    • یادگیری زبان های برنامه نویسی مختلف مانند Django, اسکالا، طرح، لینوکس، پایتون، C، روبی، هاسکل، پرل و بسیاری دیگر.
    • گرفتن ایده دقیق از نحوه ایجاد یک وب سایت سیستم مدیریت محتوا و دیگر وب واژهنامه.
    • مطالعه روش کاربردی نسبت به برنامه ریزی.
    • مطالعه پیکربندی سیستم اولیه سیستم عامل لینوکس.
    • وقایع جاوا اسکریپت است که در واکنش به اقدامات بازدید کننده ایجاد کنید.

    آموزش گسترده بدیهی است که کنار هم قرار دادن بسیار پر هزینه است، اما گاهی اوقات آنها در قربانی که به شدت با تخفیف قیمت قرار داده. که تا زمانی که ما شدند آنها را برای شما و حق در حال حاضر کامل جلو به عقب پایان بسته نرم افزاری برنامه نویسی فقط 69 دلار است. که شما دسترسی برای زندگی هم می دهد. 

    این معامله به زودی منقضی می در ، بنابراین در حال حاضر شانس خود است. آنچه از شما انتظار دارند؟ آمار دکمه زیر به معامله.

    تیم AAPicks می نویسد: درباره ما فکر می کنیم شما می خواهم، و ما ممکن است سهم درآمد حاصل از هر گونه خرید های ساخته شده از طریق لینک های وابسته را مشاهده کنید. برای دیدن همه ما داغ ترین معاملات، سر را به مرکز AAPICKS.


    در حال جستجو برای یک گوشی جدید و یا طرح اینجا شروع کنید با ابزار قدرت طرح اندیشه:

    این ابزار هوشمند به شما اجازه می دهد تا برنامه با تلفن قیمت ردیف داده ها و دسترسی های منطقه ای فیلتر. توقف برای خدمات همراه شما overpaying نفرت و تلفن است که شما خسته. با استفاده از ابزار مقایسه گوشی & طرح ما به طور کامل سفارشی کردن تجربه همراه خود و بدون دردسر گذار از یک حامل به دیگری!

    5V موبایل نیمی نیست که اگر شما می توانید گذشته تحقیقات گسترده ای، بد موبایل موبایل

    بی سر و صدا اعلام 5V موبایل جدید اواسط برد گوشی های هوشمند.

  • گوشی ویژگی های بریدگی بسیار گسترده صفحه نمایش دوربین های دوگانه و اندیشه Oreo 8.1.
  • موبایل راه اندازی 5V در انتخاب بازارهای زمانی در ماه جولای.

  • موبایل کشت کم پایان آزاد شده و به تازگی گوشی های متوسط, و امروز آن بی سر و صدا به یکی بیشتر شد. 5V موبایل جدید آخرین ورود به صف متوسط این شرکت است و انتظار می رود برای رقابت با G6 موتور جدید موتورولا است.

    برای تعدادی از شما 5V موبایل است داستان یا خانه یا با صفحه نمایش بی نظیر به پایان می رسد. بر خلاف ال جی G7 ThinQ و OnePlus 6 شکاف، که مقایسه کوچک هستند، 5V موبایل نه گسترده است. بی نظیر است یادآور آی فون ایکس از نظر اندازه، هر چند هیچ سخت افزار خاصی که فضا را به.

    اگر گذشته بی نظیر می توانید تقریبا هر چیز دیگری مورد 5V موبایل جای مناسبی است. ویژگی های تلفن 6.2 اینچ 19:9 صفحه نمایش Full HD + (1.500 x 720) وضوح دو دوربین عقب 2MP و 12MP دوربین 8MP عقب selfie سنسور اثر انگشت, 3 گیگابایت RAM و 32 GB حافظه قابل ارتقا و 4 باتری 000mAh.

    Octa هسته MediaTek Helio P22 ما تعجب چه پشتیبانی نرم افزار شبیه می کند. در حداقل 5V موبایل اجرا می شود اندیشه Oreo 8.1 از جعبه “نگه می دارد جک هدفون دست نخورده و ویژگی های یکپارچه سازی گوگل لنز در دوربین های سهام حدود

    سرانجام, گوشی ویژگی های شیشه عقب است که احساس خوب اما نه بخوبی با کف اگر ممزوج شدن شما آن را رها کنید.

    در مقایسه با موتور G6 5V موبایل شگفت آور در جنبه های بسیاری از جمله قیمت گذاری نگه می دارد. در حالی که G6 موتور برای $250، موبایل 5V هزینه 200 دلار به فروش می رساند.

    سوال بزرگ در دسترس است. اگر ما می دانیم اگر آن بازارهای ایالات متحده

    شامل 5V موبایل در “انتخاب بازارهای” مدتی این ماه راه اندازی خواهد شد