La société chinoise Nixi Technology, qui produit l'application mobile Boomoji pour créer des avatars 3D animés, a laissé ouvertes les données personnelles de plus de 5 millions d'utilisateurs de cette application dans le monde.
Récemment, nous avons écrit sur Habr sur la façon dont les données fuient des applications de logiciels espions, mais malheureusement, non seulement leurs développeurs sont soumis au syndrome "Oh, nous semblons avoir oublié de définir les droits d'accès à la base de données."
Deux bases de données Elasticsearch étaient disponibles gratuitement - l'une située aux États-Unis, destinée à stocker des données de clients internationaux, et la seconde, située à Hong Kong, contenait des données d'utilisateurs chinois (la loi chinoise exige le stockage des données personnelles des citoyens en Chine).
Les bases de données étaient librement accessibles en lecture et en écriture (y compris l'édition et la suppression). Ils contenaient 5,3 millions d'utilisateurs des versions iOS et Android de Boomoji.
En plus des données (nom d'utilisateur, âge, sexe, pays, modèle de téléphone et même le nom de l'établissement d'enseignement) directement aux utilisateurs de l'application, les bases de données contenaient 125 millions de contacts de leurs carnets d'adresses (copie à partir des téléphones), ainsi que l'historique de l'emplacement pour 375 mille utilisateurs.
Bien sûr, toutes les données étaient en texte brut, sans aucun cryptage.
Des nouvelles régulières sur des cas individuels de fuites de données sont rapidement publiées sur le canal Fuites d'informations .