Kæmpe-brøler med fejlkonfigureret database: Populær app har lækket personlige data om 31 millioner brugere

App-brugerne troede egentlig bare, at de hentede en simpel app til tilpasning af det virtuelle tastatur og for at få flere emojis. Nu er databasen med deres personlige data lækket online.

Data og detaljer om 31.293.959 brugere.

Det er, hvad sikkerhedsforskere fra Kromtech Security Center har fundet online i forbindelse med et stort datalæk fra en app-producent.

De lækkede data inkluderer blandt andet telefonnummer, navn på telefonens ejer, telefonmodel, mobilnetværk, skærmopløsning, sprog, IMSI- og IMEI-nummer, informationer om brugerens land - og links og informationer associeret med brugernes profiler på sociale medier.

De lækkede data stammer fra en virksomhed med base i Tel Aviv, Ai.Type, der designer og udvikler personaliserede, virtuelle tastaturer til mobiltelefoner og tablets - både til iOS og Android. 

Der er også lækket data om kontakter hos seks millioner brugere af appen - og det betyder så, at data om 373 millioner navne og telefonnumre er røget online.

Det skriver Bob Diachenko fra Kromtech Security Center, der er en del af sikkerhedsfirmaet Mackeeper, i et blogindlæg.

Her kan han fortælle, at man har opdaget de massive mængder brugerdata, der er offentligt tilgængeligt online.

Dataene er tilsyneladende blevet lækket på grund af en forkert konfigureret MongoDB database, som Ai.Type har anvendt til sine kundedata.

Læs også: App-udvikling er blevet langt lettere – men adgangen til back-end volder problemer

Ifølge Kromtech Security Center er virksomhedens vigtigste produkt til Android downloadet 40 millioner gange fra Google Play - et tal, der stiger kraftigt.

Problemet med de lækkede data er, at brugerne har accepteret at afgive en masse personlige data til Ai.Type for at anvende det virtuelle tastatur og de mange emojis.

Skal give fuld adgang for at benytte appen
Da forskerne installedere Ai.Type blev de chokerede over at opdage, at brugerne skal give 'fuld adgang' til blandt andet data fra telefonen og deres tastatur-data.

“Det rejser spørgsmålet om, hvorfor en tastatur- og emoji-applikation er nødt til at indsamle al data på brugerens telefon eller tablet,” skriver Bob Diachenko fra Kromtech Security Center.

“Baseret på den lækkede database, ser de ud til at indsamle alt fra kontakter til tastatur-bevægelser. Det er en chokerende mængde information om deres brugere, der antager, at de henter en simpel tastatur-applikation.”

Pas på med standard-indstillinger
Den database, som Ai.Type ved en fejl er kommet til at blotte, er på 577 GB, og den indeholder altså data og detaljer om 31.293.959 brugere.

“MongoDB er en helt almindelig platform, der anvendes af mange velkendte virksomheder og organisationer til at opbevare data, men en simpel fejlkonfiguration kan let betyde, at databasen bliver udstillet online."

"En af fejlene er, at standard-indstillingen på MongoDB databaser kan give alle med en internet-forbindelse mulighed for at browse rundt i databaserne, downloade dem eller endnu værre sågar at slette de data, der opbevares på dem.”

Læs også:

Nu kommer post-app-æraen: Du skal tænke mobile løsninger på en helt ny måde

App-udvikling er blevet langt lettere – men adgangen til back-end volder problemer




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Premium
IBM efter overtagelsen af 300 KMD-medarbejdere: "Vi har ikke planer om at indføre tryghedsaftaler"
Interview: IBM ønsker ikke at indføre tryghedsaftaler. Det er meldingen fra selskabets kommunikationschef, Benedicte Strøm, der understreger, at selskabet vil overholde sine forpligtelser over for de 300 KMD-ansatte, der overflyttes til virksomheden fra begyndelsen af oktober.
Computerworld
KMD tæt på milliardaftale med IBM: Klar til at outsource infrastruktur og hundredevis af medarbejdere
Ifølge Computerworlds oplysninger er KMD tæt på at outsource selskabets infrastruktur og driftsopgaver til IBM. Det betyder, at flere hundrede medarbejdere vil blive berørt af den flerårige aftale, som har en årlig værdi på omkring 500 millioner kroner.
CIO
Henrik Jeberg om at arbejde i Silicon Valley: "Er du dygtig nok får du tilbud der får en til at falde ned af stolen."
Henrik Jeberg bor i San Francisco og er direktør i Hampleton Partners, der rådgiver om opkøb med særligt fokus på teknologi. Hør ham fortælle om forskellen på Danmark og Silicon Valley - og om nogle af de vilde forhold der hersker i verdens ubestridte tech-hovedstad.
Job & Karriere
KMD opsagde tryghedsaftaler med medarbejderne få måneder før 300 medarbejdere blev outsourcet til IBM
KMD har i løbet af foråret opsagt to såkaldte tryghedsaftaler med en del af selskabets medarbejdere. Når aftalerne stopper ved udgangen af 2018, er de pågældende medarbejdere ikke længere berettiget til særlig godtgørelse. Det kan få konsekvenser, hvis IBM som forventet skærer i antallet af de 300 KMD-medarbejdere, som selskabet overtager.
White paper
Står din infrastruktur i vejen for virksomhedens udvikling? … her er de 10 vigtigste overvejelser
Oplever du, at din virksomheds it-infrastruktur er en stopklods for udviklingen af forretningen, digitalisering og konkurrencekraft? Måske er svaret hyperkonvergeret infrastruktur, hvor software og hardware smelter sammen i én konkurrencedygtig enhed, som er nem at administrere. Men der er 10 meget vigtige overvejelser at gøre sig, før man vælger en løsning. Læs dette whitepaper fra Lenovo og bliv klædt bedre på til at vælge rigtigt. 10 Key Considerations for Selecting Hyper-Converged Infrastructure - What to Know Before You Choose a Solution, Lenovo, 18 sider på engelsk.