Очередное мобильное приложение «слило» данные своих пользователей +9


Китайская компания Nixi Technology, производящая мобильное приложение Boomoji для создания анимированных 3D-аватаров, оставила в открытом доступе персональные данные более 5 млн. пользователей этого приложения по всему миру.



Недавно мы писали на Хабре про то, как утекают данные из шпионских приложений, но к сожалению, не только их разработчики подвержены синдрому «ой, мы кажется забыли выставить права доступа на базу».


В свободном доступе находилось две базы данных Elasticsearch – одна, расположенная в США, предназначалась для хранения данных международных клиентов, а вторая, расположенная в Гонконге, содержала данные китайских пользователей (китайское законодательство требует хранить персональные данные граждан на территории Китая).


Базы данных были свободно доступны как на чтение, так и на запись (включая редактирование и удаление). В них содержалось 5.3 млн. пользователей iOS и Android версий Boomoji.


Помимо данных (имя пользователя, возраст, пол, страна, модель телефона и даже название учебного заведения) непосредственно самих пользователей приложения, в базах данных лежало 125 млн. контактов их адресных книг (копия с телефонов), а также история геопозиционирования для 375 тыс. пользователей.


Разумеется, все данные лежали открытым текстом, без какого-либо шифрования.


Регулярные новости про отдельные случаи утечек данных, оперативно публикуются на канале Утечки информации.




К сожалению, не доступен сервер mySQL