Il ricercatore di sicurezza informatica, Jeremiah Fowler, ha scoperto e riferito a vpnMentor di un database non protetto da password che conteneva circa 2,3 milioni di record. Dopo ulteriori indagini, è diventato chiaro che questi record erano associati a più applicazioni di datazione contenute in un unico database.
La maggior parte dei record si riferiva a un’applicazione chiamata 419 Dating – Chat & Flirt. Tuttavia, all’interno del database, ho visto anche informazioni relative ad altre app di appuntamenti chiamate Meet You – Local Dating App di Enjoy Social App e Speed Dating App For American di MyCircle Network Corp. La presenza di quelli che sembravano essere loghi e file di sviluppo relativi a queste app nello stesso database può suggerire la probabilità che tutte e tre le app di appuntamenti siano di proprietà o sviluppate dalla stessa azienda utilizzando nomi diversi. Nel database sono stati trovati anche documenti relativi a un paio di applicazioni di tracciamento della posizione, sebbene non possiamo garantire che siano in alcun modo correlati a 419 Incontri a causa della mancanza di informazioni disponibili online che le società sono collegate. Secondo molteplici elenchi di siti di download di software, 419 Dating – Chat & Flirt è sviluppato da una società cinese chiamata SILING APP (visibile anche nell’archivio web). Ho immediatamente inviato un avviso di divulgazione responsabile e sebbene il database sia stato rapidamente protetto nessuno ha mai risposto. L’app era disponibile su Google Play Store ma è stata rimossa poco dopo la mia notifica. Tuttavia, l’app è ancora disponibile su molti altri siti Web. Secondo la propria campagna pubblicitaria, l’app 419 Dating afferma di avere 50 milioni di utenti in tutto il mondo.
Il database sembra contenere un numero enorme di record utente che includono nomi di clienti, numeri di account, e-mail, password e altro. In totale, il database conteneva più di 600 registri del server compressi. Quando ho esaminato un singolo registro del server, ho visto un’enorme quantità di indirizzi e-mail. Considerando che si trattava di un campione limitato, è possibile che il resto dei file contenga molte più email. Se queste informazioni dovessero cadere nelle mani sbagliate, tutti questi utenti potrebbero essere potenzialmente soggetti a spam, attacchi di phishing o altre infezioni da malware.
Cosa conteneva il database:
Numero totale di record: 2.357.896 con una dimensione totale di 340,6 GB.
959.571 immagini di utenti. Alcune di queste immagini erano NSFW (non sicure per il lavoro) e contenevano immagini sessualmente esplicite. Ho visto immagini ravvicinate di parti del corpo e quelle con i volti degli utenti. Queste immagini identificabili combinate con nomi ed e-mail potrebbero rappresentare un potenziale rischio per l’utente.
Un singolo registro di backup conteneva 236.681 indirizzi Gmail, 15.703 account Yahoo Mail, 3.872 indirizzi iCloud e molti altri indirizzi di vari provider di posta elettronica. Ricorda che questo era solo un campionamento di un server log out su 600 dalla cartella db_backup. Nello stesso file di backup c’erano registrazioni di oltre 500 profili contenenti la parola “escort” e che offrivano servizi sessuali; avevano numeri di telefono, indirizzi e-mail e account di social media associati.
Il database conteneva anche file SDK (Software Development Kit) esposti, che sono pacchetti o raccolte di strumenti software, librerie, documentazione e risorse che gli sviluppatori utilizzano per creare applicazioni software per una piattaforma o un framework specifico. Ciò potrebbe portare alla creazione di applicazioni con funzionalità o vulnerabilità dannose nascoste.
I registri del server sono una ricchezza di informazioni.
I registri del server spesso registrano un’ampia gamma di informazioni sull’attività del server, incluso il traffico Web, gli errori del server e l’attività dell’utente. I registri del server possono a volte registrare nomi utente, password e dati personali non crittografati. In questo caso, il database sembrava contenere informazioni dettagliate sugli utenti, comprese le immagini e i loro profili.
Il rischio che un’applicazione esponga un’API o una chiave privata è significativo e comporta seri rischi per gli utenti. Una chiave privata è una chiave crittografica segreta utilizzata per autenticare e autorizzare l’accesso a un account del servizio API. Se i criminali informatici ottengono l’accesso alla chiave privata di un’applicazione, potrebbero potenzialmente ottenere l’accesso non autorizzato a tutte le risorse a cui ha accesso un account specifico, come dati sensibili aggiuntivi o altre azioni basate su autorizzazioni.
Un’altra potenziale vulnerabilità che viene spesso trascurata sono i permessi delle app. Queste autorizzazioni sono un modo per le app di accedere a determinate funzioni o dati sul tuo dispositivo. Sebbene queste autorizzazioni siano necessarie per il corretto funzionamento delle app, rappresentano anche un certo grado di rischio per la tua privacy e sicurezza. È importante rivedere le autorizzazioni richieste da ciascuna app prima di installarla. Dovresti anche rivedere regolarmente le autorizzazioni delle app esistenti e revocare quelle che non sono utilizzate o necessarie. Ti consiglio inoltre di utilizzare un’app di sicurezza mobile per monitorare e gestire le autorizzazioni delle app sul tuo dispositivo. Questa è una buona pratica generale e non è direttamente collegata alle app discusse in questo articolo.
Secondo la documentazione dell’app 419 Dating su Google Play Store, questa app richiede l’accesso alla memoria del dispositivo. Ciò significa che, quando lo installi sul tuo telefono, l’app può potenzialmente leggere, modificare o eliminare foto, contenuti multimediali, file, ID dispositivo, informazioni sulle chiamate e qualsiasi altra cosa che hai memorizzato nel tuo dispositivo. L’utente accetta di consentire all’app di ricevere dati da Internet, ottenere l’accesso completo alla rete, impedire la sospensione dei dispositivi, visualizzare le connessioni di rete e modificare le impostazioni audio.
I rischi di una violazione dei dati dell’applicazione di appuntamenti.
Come ogni violazione dei dati, quella di un’app di incontri può comportare rischi significativi per la privacy e la sicurezza dei suoi utenti. Le app di appuntamenti spesso richiedono agli utenti di fornire informazioni sensibili, come le preferenze sessuali o le condizioni di salute. Questo tipo di informazioni potrebbe essere utilizzato per discriminare le persone o essere utilizzato per scopi di ricatto. Inoltre, le informazioni personali compromesse come i veri nomi e gli indirizzi e-mail dell’utente potrebbero rendere queste persone un potenziale bersaglio per i criminali informatici.
Quando utilizza l’app, l’utente ha un livello di privacy, ma la violazione dei dati potrebbe potenzialmente esporre il loro vero nome, indirizzo e-mail e posizione geografica. In questo caso, gli account del profilo contenevano informazioni esplicite come l’esperienza sessuale, informazioni relative ai dettagli dell’ultimo incontro sessuale dell’utente e altre informazioni personali altamente sensibili. Ho visto più account in cui l’utente ha ammesso di avere una malattia a trasmissione sessuale o altre condizioni di salute.
La potenziale violazione di così tanti account di posta elettronica potrebbe mettere gli utenti a rischio di tentativi mirati di phishing e attacchi fraudolenti. Se combinati con dati utente dettagliati, i criminali informatici possono lanciare messaggi fraudolenti altamente mirati o e-mail di phishing che possono mettere gli utenti dell’app a rischio di perdite finanziarie o furto di identità. Tutti gli sviluppatori di applicazioni che raccolgono e memorizzano i dati dei propri utenti sono generalmente tenuti ad avere l’obbligo di proteggere le informazioni sensibili. Un’altra buona pratica è educare gli utenti sulle pratiche online sicure e fornire loro le risorse per aiutarli a proteggere le loro informazioni personali.
La potenziale esposizione di ID utente e password consentirebbe l’accesso non autorizzato agli account degli utenti. Una volta all’interno dell’area di amministrazione dell’utente, sarebbe possibile per i criminali informatici vedere la cronologia dei messaggi ed eventuali dettagli di pagamento o altre informazioni personali associate all’account. Inoltre, esaminando la cronologia dei messaggi della vittima, i criminali informatici possono potenzialmente accedere alle informazioni personali delle persone all’interno della cerchia sociale della vittima. Pertanto, l’ingegneria sociale rappresenta un rischio unico per non solo gli utenti dell’app.
Un’altra notevole preoccupazione derivante dalla scoperta sono state le menzioni di servizi di scorta e utenti che apparentemente offrivano servizi sessuali sia online che di persona. Sono stati segnalati numerosi casi di individui che utilizzano app di appuntamenti per attirare e sfruttare persone vulnerabili a fini di traffico sessuale. Sottolineiamo l’importanza di essere consapevoli dei potenziali rischi e di esercitare cautela quando si comunica con estranei online. Tuttavia, dobbiamo sottolineare che non stiamo insinuando che l’app 419 Dating sia consapevolmente utilizzata per questo scopo, solo che potrebbe esistere un potenziale rischio, in particolare data l’indicazione che i termini e le condizioni dell’app potrebbero non essere applicati completamente.
Sebbene l’app sembri essere un servizio di incontri legittimo, è interessante notare che il nome dell’applicazione rispecchia il classico termine “419”, spesso utilizzato per descrivere le truffe che provengono dalla Nigeria, dal nome della sezione del Nigerian Criminal Codice che si occupa di frode. Queste truffe in genere coinvolgono qualcuno che richiede denaro o informazioni personali in cambio della promessa di una ricompensa più grande o di un guadagno finanziario. Non stiamo insinuando che 419 Dating – Chat & Flirt o una qualsiasi delle app summenzionate siano collegate in alcun modo a frodi o crimini, né stiamo dicendo che gli utenti siano a rischio imminente.
Non è chiaro per quanto tempo il database è stato esposto o se qualcun altro potrebbe aver ottenuto l’accesso a queste immagini, record e registri del server. Pubblichiamo i nostri risultati per scopi educativi e per evidenziare i rischi del mondo reale dell’esposizione dei dati. Gli utenti che hanno utilizzato queste o altre app di appuntamenti e ritengono di aver esposto i propri dati personali dovrebbero prestare attenzione alle attività sospette.