Un groupe de sites de rencontres de niche a compromis les données de centaines de milliers d'utilisateurs, selon des chercheurs en sécurité.
Près de 2,5 millions d'enregistrements ont été exposés au total, y compris des images explicites, des enregistrements audio, des captures d'écran de chat et des informations sur les transactions.
Les données concerneraient les utilisateurs de neuf sites de rencontres, dont chacun répond à des tendances sexuelles spécifiques: Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, 3somes, Herpes Dating et GHunt.
La mise en page de chaque site Web serait similaire, et une partie de ceux qui accompagnent les applications Android répertorient Cheng Du New Tech Zone en tant que développeur.
Sommaire
Violation du site de rencontres
L'incident a été découvert par les chercheurs Noam Rotem et Ran Locar de vpnMentor, qui affirment que les données ont été exposées dans un compartiment Amazon S3 mal configuré – un type de ressource de stockage cloud utilisé par les entreprises pour stocker de grandes quantités d'informations.
Bien que les données exposées n'incluent pas de nombreuses informations personnellement identifiables (PII) – telles que les noms, les numéros de téléphone, les adresses et les identifiants de connexion – les images peuvent toujours être utilisées par un pirate informatique engagé pour établir l'identité d'un utilisateur, ouvrant la porte à des escroqueries basées sur le chantage .
«Nous avons été surpris par la taille et la sensibilité des données. Le risque de doxing qui existe avec ce genre de chose est très réel – extorsion, abus psychologique », a déclaré Locar.
"En tant qu'utilisateur de l'une de ces applications, vous ne vous attendez pas à ce que d'autres personnes en dehors de l'application puissent voir et télécharger les données."
L'une des applications concernées, Herpes Dating, s'adresse aux personnes atteintes d'infections sexuellement transmissibles, ce qui signifie que la violation pourrait, par extension, avoir également compromis les informations sur la santé des utilisateurs.
Alors que le développeur a maintenant corrigé l'erreur, il est impossible de dire si des parties non autorisées ont accédé au trésor de données sensibles pendant la période au cours de laquelle elles sont restées exposées.
Un autre des services concernés, Casualx, a déclaré TechRadar Pro il conteste le rapport vpnMentor et nie que les données de ses utilisateurs ont été exposées.
«Nous utilisons Softlayer pour stocker les données et informations de nos utilisateurs. Softlayer est un produit de la société IBM. Casualx ne partage pas un développeur commun avec d'autres applications, comme l'a mentionné vpnmentor.com. Nous n'avons pas les fonctionnalités comme le déclare vpnmentor.com: «messages vocaux et enregistrements audio» (sic) », a déclaré le cabinet.
TechRadar Pro a également demandé des commentaires à Cougary, Gay Daddy Bear, Herpes Dating et 3somes, dont aucun n'a répondu immédiatement.
Via WIRED
