A empresa chinesa Nixi Technology, que produz o aplicativo móvel Boomoji para criar avatares animados em 3D, deixou em aberto os dados pessoais de mais de 5 milhões de usuários desse aplicativo em todo o mundo.
Recentemente, escrevemos no Habr sobre como os dados vazam de aplicativos spyware, mas, infelizmente, não apenas seus desenvolvedores estão sujeitos à síndrome "Ah, parece que esquecemos de definir direitos de acesso ao banco de dados".
Dois bancos de dados Elasticsearch estavam disponíveis gratuitamente - um localizado nos EUA, destinado a armazenar dados de clientes internacionais, e o segundo, localizado em Hong Kong, continha dados de usuários chineses (a lei chinesa exige o armazenamento de dados pessoais de cidadãos na China).
Os bancos de dados estavam disponíveis gratuitamente para leitura e escrita (incluindo edição e exclusão). Eles continham 5,3 milhões de usuários das versões iOS e Android do Boomoji.
Além dos dados (nome de usuário, idade, sexo, país, modelo de telefone e até mesmo o nome da instituição de ensino) diretamente aos usuários do aplicativo, os bancos de dados continham 125 milhões de contatos de seus catálogos de endereços (cópia dos telefones), além do histórico da localização de 375 mil. usuários.
Obviamente, todos os dados estavam em texto simples, sem nenhuma criptografia.
Notícias regulares sobre casos individuais de vazamento de dados são rapidamente publicadas no canal Vazamentos de informações .