تركت شركة Nixi Technology الصينية ، التي تنتج تطبيق Boomoji للأجهزة المحمولة لإنشاء تجسيدات ثلاثية الأبعاد متحركة ، البيانات الشخصية لأكثر من 5 ملايين مستخدم لهذا التطبيق حول العالم.
لقد كتبنا مؤخرًا على Habr حول كيفية تسرب البيانات من تطبيقات برامج التجسس ، ولكن لسوء الحظ ، ليس فقط مطوروهم يخضعون لمتلازمة "أوه ، يبدو أننا نسينا لتعيين حقوق الوصول إلى قاعدة البيانات."
كانت هناك قاعدتان من قواعد بيانات Elasticsearch متاحة مجانًا - الأولى في الولايات المتحدة الأمريكية ، والمخصصة لتخزين بيانات العملاء الدوليين ، والثانية ، الموجودة في هونغ كونغ ، تحتوي على بيانات من المستخدمين الصينيين (يتطلب القانون الصيني تخزين البيانات الشخصية للمواطنين في الصين).
كانت قواعد البيانات متاحة مجانًا للقراءة والكتابة (بما في ذلك التحرير والحذف). تضمنت 5.3 مليون مستخدم لنظامي iOS و Android من Boomoji.
بالإضافة إلى البيانات (اسم المستخدم والعمر والجنس والبلد وطراز الهاتف وحتى اسم المؤسسة التعليمية) مباشرة لمستخدمي التطبيق ، فقد احتوت قواعد البيانات على 125 مليون جهة اتصال من دفاتر عناوينهم (نسخة من الهواتف) ، بالإضافة إلى سجل الموقع لـ 375 ألف. المستخدمين.
بالطبع ، كانت جميع البيانات في نص عادي ، دون أي تشفير.
يتم نشر الأخبار المنتظمة حول حالات تسرب البيانات الفردية على قناة معلومات التسريبات .