Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Излишне любопытные

Прочитали: 1831 Комментариев: 93 Рейтинг: 95

«Антивирусная правДА!» крайне редко пишет о фактах утечек. Причина проста: в подавляющем большинстве случаев дело не в мастерстве хакеров, а в банальных упущениях администраторов ресурсов, подвергшихся взлому. Устаревшее ПО, пароли на видном месте, ошибки в настройке конфигурации сервера... Да и, в общем-то, миллион-другой утекших записей персональных данных – особой роли уже не играет, их и так уже утекло немало.

Но вот эта утечка – не то чтобы феерична, скорее даже типична, однако показывает, насколько все запущенно...

Личные данные более чем 31 миллиона клиентов популярной виртуальной клавиатуры просочились в интернет вследствие того, что разработчик приложения не смог защитить сервер.

#drweb

https://www.anti-malware.ru/news/2017-12-06-1447/25002

https://mackeepersecurity.com/post/virtual-keyboard-developer-leaked-31-million-of-client-records

«Не смог» – видимо, это свидетельствует о жестокой борьбе, в результате которой сервер пал, а данные потихоньку начали с него утекать?

Сервер не был даже защищен паролем, что позволило получить доступ к базе, в которой хранятся более 577 гигабайт конфиденциальных данных.

Несмотря на заявление AI.type о том, что «конфиденциальность пользователя является нашим главным приоритетом, любой текст, веденный с помощью клавиатуры, шифруется», на деле скомпрометированная база данных оказалась незашифрованной.

https://www.anti-malware.ru/news/2017-12-06-1447/25002

Ai.Type использовали базу данных Mongo. Доступна она была любому, у кого есть интернет-соединение. MongoDB – это распространенная платформа, используемая многими известными компаниями и организациями для хранения данных.

Настройки по умолчанию для базы данных MongoDB позволяют любому, у кого есть интернет-соединение, просматривать базы данных, загружать их или даже удалять данные, хранящиеся на них.

https://mackeepersecurity.com/post/virtual-keyboard-developer-leaked-31-million-of-client-records

Действительно, борьба была неравной, что уж тут сказать… Хакеры ломились на ресурс, а дверь была открыта. Установив базу данных, даже не сменить настройки по умолчанию!

Удалось выяснить, что похищенные данные включают полные имена пользователей, адреса электронной почты и количество дней с момента установки приложения AI.type, местоположение пользователя (страна и город).

Ситуацию усугубляет наличие бесплатной версии AI.type, которая в соответствии с политикой конфиденциальности собирает больше данных, чем платная версия. В этом случае данные пользователей также содержали IMSI и IMEI, марку и модель устройства, его разрешение экрана и конкретную версию Android.

Некоторые похищенные данные включали IP-адрес и имя интернет-провайдера, а также сведения об общедоступном профиле Google, включая адреса электронной почты, даты рождения и фотографии профиля.

Занимателен тот факт, что исследователям также удалось обнаружить несколько таблиц, содержащих контакты пользователей — одна таблица содержала 10,7 миллионов адресов электронной почты, а другая 374,6 миллиона телефонных номеров.

Непонятно, зачем приложение загружало на сервер контакты пользователей. Но и это еще не все — в нескольких таблицах содержались списки приложений, установленных на устройствах пользователей.

Эксперты также обнаружили одну таблицу, содержащую более 8,6 миллионов записей текста, которые были введены с клавиатуры, благодаря чему к разработчику клавиатуры возникает много вопросов.

https://www.anti-malware.ru/news/2017-12-06-1447/25002

Дополнительно база данных содержала статистические данные, такие как самые популярные запросы пользователей Google для разных регионов, среднее количество сообщений в день, количество слов на сообщение и т. д.

#drweb

https://mackeepersecurity.com/post/virtual-keyboard-developer-leaked-31-million-of-client-records

«Непонятно, зачем»? А заодно со всем остальным – если красть, так сразу все. Все равно пользователям без разницы!

Проблема халявы – в том, что люди готовы предоставить (и предоставляют) свои данные в обмен на бесплатные или дешевые услуги или продукты. Если данные собирает крупнейший вендор, то против него ведутся расследования, на него налагаются многомиллиардные штрафы, СМИ полнятся новостями о запрете ПО в таких-то органах, пользователи возмущаются… и устанавливают «левые» приложения, разрешая им все. Для интереса сравним:

Большая ли разница в собираемых данных? При этом каждому из нас через бесплатные сервисы благодаря собранным данным агрессивно навязывают ненужные товары и завышают цены. Но возмущаются все тому, что такие же данные пытается собрать государство!

Наибольший интерес к персональным данным предъявляют государственные структуры. Именно поэтому они пытаются собрать максимум информации о Вашей жизнедеятельности. Для остальных же структур совсем не важно Ваше местонахождение или религия, их совсем не интересует, в каком виде и в каком состоянии Вы будете пользоваться их услугами.

http://about-windows.ru/nastrojka-windows/kakie-dannye-sobirayutsya-v-internete

Оно и видно:

Исследование, проведенное в Школе связи Анненберга в Университете Пенсильвании, показало, что большинство американцев не считают, что использование их данных для персонализации услуг является справедливым.

https://mackeepersecurity.com/post/virtual-keyboard-developer-leaked-31-million-of-client-records

В теории и опросах все возмущаются. А на практике многие ли выберут платную версию ПО, не собирающую данные?

Когда исследователи установили Ai.Type, они были потрясены, обнаружив, что пользователи должны разрешить «Полный доступ» ко всем своим данным, хранящимся на тестовом iPhone, включая все данные, вводимые с клавиатуры в прошлом. Возникает вопрос, почему приложение должно собирать все данные на телефоне или планшете пользователя?

#drweb

https://mackeepersecurity.com/post/virtual-keyboard-developer-leaked-31-million-of-client-records

Ответ прост: всем безразлично. Многие ли сменили свои пароли после утечки?

Спите спокойно, жители мира – если вам было обещано, что «конфиденциальность пользователя является нашим главным приоритетом», то так оно и будет. Вот только маленький нюанс: имеется в виду конфиденциальность пользователя или хакера?

#персональные_данные #безопасность #Android

Dr.Web рекомендует

  1. Отслеживайте права, которые запрашивают у вас приложения. Далеко не все такие программы вредоносны, так что антивирус тут не поможет.
  2. Если на устройстве не будет ваших данных, то и украсть их не смогут.

Внимание! В комментариях просьба воздержаться от политики – выпуск совершенно не об этом.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: