Iscureli podaci o preko 31 milion korisnika virtuelne tastature AI.type

Ne samo da su osetljivi podaci bili nezaštićeni, nego aplikacija nije smela ni da ih prikuplja!

Iscureli podaci o preko 31 milion korisnika virtuelne tastature AI.type

Još jedan u nizu incidenata povrede bezbednosti podataka. Ovoga puta, u pitanju je popularna aplikacija AI.type, odnosno virtuelna tastatura.

Ovakav i slični slučajevi nas podsećaju da svaki put kada preuzmemo neku aplikaciju, povećavamo izloženost napadima. U većini slučajeva, nismo ni svesni koliko i koje sve podatke određena aplikacija prikuplja i na koji način ih koristi.

Iscureli podaci o korisnicima su čuvani u MongoDB bazi podataka koja nije imala nikakav mehanizam zaštite! Informacije o preko 31 miliona korisnika pomenute aplikacije su sada javno dostupne.

AI.type je startup kompanija iz Tel Aviva koja se bavi dizajniranjem i razvojem personalizovanih tastatura za mobilne telefone i tablete za Android i iOS uređaje.

Iz MongoDB baze iscurelo je 577 GB podataka, među kojima su i osetljivi podaci o korisnicima. Najgore od svega je što aplikacija nije ni trebalo da prikuplja te podatke jer oni nisu neophodni za njen rad. AI.type aplikacija, potpuno neopravdano, prilikom instalacije zahteva „potpuni pristup“ svim podacima koji se nalaze na mobilnom uređaju. Postavlja se pitanje zašto jedna aplikacija za virtuelnu tastaturu i emoji ima potrebu da prikuplja sve podatke sa uređaja korisnika? Na osnovu iscurelih podataka koji su javno dostupni, izgleda da aplikacija ima i keylogging sposobnosti jer prikuplja sve informacije – od kontakata do svega što otkucate na tastaturi. U pitanju je šokantna količina informacija o korisnicima koji to svakako ne očekuju kada preuzimaju jednostavnu aplikaciju poput virtuelne tastature.

Koje informacije su iscurele?

Iscureli podaci o korisnicima sadrže sledeće:

  • Ime i prezime, broj telefona i imejl adresu korisnika.
  • Ime uređaja, rezoluciju i informacije o modelu.
  • Android verziju, IMSI broj i IMEI broj uređaja.
  • Ime mobilnog operatera, državu i podešene jezike.
  • IP adresu (ako je dostupna) i GPS koordinate.
  • Linkove i informacije povezane sa profilima na društvenim mrežama, uključujući i datum rođenja, imejl adrese i slike.

Takođe, iscureli podaci u slučaju skoro 6,5 miliona korisnika sadrže informacije o svim kontaktima korisnika (ukupno 373 miliona kontakata). Kontakti su se nalazili ili u telefonu ili su bili sinhronizovani sa Google nalogom.

Među iscurelim podacima, nalazili su se i različiti statistički parametri: najpopularnije Google pretrage korisnika u različitim delovima sveta, prosečan broj poslatih poruka na dan, prosečan broj reči u poruci, starost korisnika, prosečan broj reči otkucanih u jednoj sesiji i u jednom danu itd.

Izvor: securityaffairs.co