La compa帽铆a china Nixi Technology, que produce la aplicaci贸n m贸vil Boomoji para crear avatares 3D animados, ha dejado abiertos los datos personales de m谩s de 5 millones de usuarios de esta aplicaci贸n en todo el mundo.
Recientemente escribimos en Habr sobre c贸mo se filtran los datos de las aplicaciones de spyware, pero desafortunadamente, no solo sus desarrolladores est谩n sujetos al s铆ndrome "Oh, parece que nos hemos olvidado de establecer los derechos de acceso a la base de datos".
Dos bases de datos de Elasticsearch estaban disponibles gratuitamente: una ubicada en los EE. UU., Destinada a almacenar datos de clientes internacionales, y la segunda, ubicada en Hong Kong, conten铆a datos de usuarios chinos (la ley china requiere el almacenamiento de datos personales de ciudadanos en China).
Las bases de datos estaban disponibles gratuitamente para leer y escribir (incluida la edici贸n y eliminaci贸n). Conten铆an a 5,3 millones de usuarios de versiones iOS y Android de Boomoji.
Adem谩s de los datos (nombre de usuario, edad, sexo, pa铆s, modelo de tel茅fono e incluso el nombre de la instituci贸n educativa) directamente a los usuarios de la aplicaci贸n, las bases de datos conten铆an 125 millones de contactos de sus libretas de direcciones (copia de tel茅fonos), as铆 como el historial de la ubicaci贸n por 375 mil. usuarios.
Por supuesto, todos los datos estaban en texto plano, sin ning煤n cifrado.
Las noticias peri贸dicas sobre casos individuales de fugas de datos se publican r谩pidamente en el canal Fugas de informaci贸n .