Неназванный ИБ-исследователь нашел в открытом доступе на облачном сервисе Amazon S3 терабайты незашифрованных данных, которые принадлежат клиентам Spyfone. Это компания продает родителям и нанимателям приложение для слежки за владельцами устройств на Android и iOS.

Среди скомпрометированных данных – фотографии, аудиозаписи, сообщения, история поисковых запросов, данные GPS, хешированные логины и пароли, номера IMEI и сведения об устройстве. В массиве обнаружились еще и 44 тысячи уникальных email-адресов. Об инциденте рассказал портал Motherboard.

По подсчетам ИБ-специалиста, пожелавшего сохранить анонимность из-за боязни юридических последствий, в момент обнаружения утечки мониторинг охватывал минимум 3666 устройств.

Автор находки сообщил также, что для входа в backend-сервис не потребовался ни пароль, ни логин, так что ИБ-исследователь создал учетную запись с правами администратора и посматривал информацию о клиентах. Сотрудники Spyfone, кроме того, оставили без защиты один API, так что любой, кто знал URL-адрес, получал доступ к данными клиентов: именам и фамилиям, адресам электронной почты и IP-адресам. Данные при этом постоянно обновлялись.

В Spyfone подтвердили, что утечка затронула интересы 2200 клиентов. Компания уведомила пострадавших, сообщила в правоохранительные органы и привлекла сторонних ИБ-специалистов для расследования инцидента.

После череды крупных утечек конфиденциальных данных, которые произошли из-за ошибок конфигурации сервисов Amazon S3, провайдер добавил в панель управления предупреждение на случай, если из-за неправильных настроек информация становится доступна публично. Тогда же сервис включил полное шифрование всех данных в облаке по умолчанию.

Иточник:  SearchInform