Das chinesische Unternehmen Nixi Technology, das die mobile Anwendung Boomoji zur Erstellung animierter 3D-Avatare herstellt, hat die persönlichen Daten von mehr als 5 Millionen Benutzern dieser Anwendung auf der ganzen Welt offen gelassen.
Kürzlich haben wir auf Habr darüber geschrieben, wie Daten aus Spyware-Anwendungen austreten, aber leider sind nicht nur deren Entwickler dem Syndrom "Oh, wir scheinen vergessen zu haben, Zugriffsrechte auf die Datenbank festzulegen" ausgesetzt.
Zwei Elasticsearch-Datenbanken waren frei verfügbar - eine in den USA, in der Daten internationaler Kunden gespeichert werden sollen, und eine in Hongkong, die Daten chinesischer Benutzer enthält (das chinesische Recht schreibt die Speicherung personenbezogener Daten von Bürgern in China vor).
Datenbanken waren sowohl zum Lesen als auch zum Schreiben (einschließlich Bearbeiten und Löschen) frei verfügbar. Sie enthielten 5,3 Millionen Benutzer von iOS- und Android-Versionen von Boomoji.
Zusätzlich zu den Daten (Benutzername, Alter, Geschlecht, Land, Telefonmodell und sogar Name der Bildungseinrichtung) direkt an die Benutzer der Anwendung enthielten die Datenbanken 125 Millionen Kontakte ihrer Adressbücher (Kopie von Telefonen) sowie die Geschichte des Standorts für 375.000. Benutzer.
Natürlich waren alle Daten ohne Verschlüsselung im Klartext.
Regelmäßige Nachrichten über einzelne Fälle von Datenlecks werden schnell auf dem Kanal Informationslecks veröffentlicht .