Kako su hakeri preko jedne Android aplikacije došli do osobnih podataka milijuna ljudi

Casino aplikacija broj jedan na Androidu i iOS-u, Clubillion, otkrila je dnevne aktivnosti te osobne podatke milijuna svojih korisnika zahvaljujući loše konfiguriranoj bazi podataka Elasticsearch koja je u jednom trenutku postala dostupna ljudima izvan kompanije koja stoji iza Cubilliona. Masivno curenje podataka prvi puta zapaženo je od strane istraživača Noama Rotema i Rana Locara iz vpnMentora.

Ista baza podataka za Android i OS korisnike

Aplikacija, koja je inače smještena na Amazonovom AWS-u, zbog propusta je imala izloženu bazu podataka s logovima milijuna korisnika diljem svijeta. Tehnička baza podataka izrađena na Elasicsearch engineu dnevno je spremala aktivnosti Android i iOS korisnika te se svakodnevno ažurirala s preko 200 milijuna zapisa koji su zauzimali preko 50GB prostora. Ta ogromna količina podataka sada je dostupna nepoznatom broju hakera.

I dok su dnevni activity logovi uključivali aktivnosti kao što su gubici i dobici te odigrane igre, logovi su također bilježili i osobne podatke zvane PII (Personally Identifiable Information), kao što su IP adresa, email adresa, osobne poruke i slično. Iz Clubilliona ističu da se aplikacija koristila od strane velikog broja korisnika iz Europe, prvenstveno Velike britanije, Njemačke, Francuske, Italije te Španjolske, gdje je Velika Britanija “vodila” s prosjekom od 2,45 korisnika po danu. Što se tiče ostalih država svijeta, Clubillion dnevno koriste deseci tisuća ljudi iz Sjeverne Amerike, Australije, ali i ostalih zemalja svijeta poput Indije, Poljske, Rumunjske, Vijetnama, Libanona, Indonezije, Pakistana, Austrije, Mađarske i Litve. Ukratko, podaci koji su otkriveni sadržavaju informacije od ljudi širom svijeta. Istraživači s vpnMentora koji su otkrili propust nisu bezuspješno su pokušavali kontaktirati vlasnike aplikacije kako bi ih upozorili te su na kraju upozorenje prenijeli direktno Amazonovom AWS timu.

Curenje podataka moglo bi se koristiti za phising napade

Unatoč svojoj popularnosti, casino aplikacije često su netransparentne, a ponekad je i nemoguće znati u koju svrhu se koriste osobni podaci korisnika. Za razliku od casino online web stranica koje prate stroge smjernice i moraju zadovoljiti zakonske okvire, na Google Playu se znaju provući aplikacije manje kvalitete koje ne prate iste standarde. Prema vpnMentoru, od 23.000 besplatnih aplikacija za kockanje, 3.200 spada u kategoriju srednjeg rizika, a oko 50 sadrži maliciozni kod. Ako su hakeri otkrili propuste u Clubillionu prije nego su vlasnici aplikacije za njih saznali, moguće je da su aplikaciju koristili za čitav niz neželjenih radnji, kao što je pristupanje prostoru za pohranu ili preuzimanje kontrole nad uređajem. Kako su ljudi zaokupljeni drugim problemima i aktualnostima u svijetu, aplikacije poput Clubilliona ne dobivaju dovoljno pažnje, što predstavlja dodatnu razinu problema te potencijalnu opasnost.

Komentirajući otkrivene probleme s Clubillionom, Michael Barragry, konzultant za Edgescan, izjavio je da su aplikacije za kockanje oduvijek bile zanimljiva meta za hakere. Specifična skupina ljudi koja preuzima i koristi takve aplikacije, raširena po čitavom svijetu, svakako nije pretjerano zabrinuta za svoju sigurnost već je više zaokupljena jednostavnošću i dostupnošću online slots igara koje se nude preko takvih aplikacija. Aplikacije uvijek prikupljaju određene podatke od svojih korisnika, pitanje je samo koje podatke i u kojem obujmu. Činjenica da su u ovom slučaju prikupljane IP adresa i email adrese govori o posebno velikom problemu te neugodnoj situaciji za milijune ljudi diljem svijeta.

“Aplikacije za kockanje trebali bi prikupljati samo one podatke koje zapravo trebaju i koriste u svrhu interne obrade. Nije jasno na koji način je baza kompromitirana, ali najbolja praksa iz sigurnosti svakako bi se trebala koristiti”, dodao je Michael Barragry.

Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa * (obavezno)