Το Fitness brand V Shred εξέθεσε προσωπικές πληροφορίες 99.000 πελατών και προπονητών. Το πιο ανησυχητικό, ωστόσο, είναι ότι δεν έχει επιλύσει ακόμα το πρόβλημα με τη βάση δεδομένων που είναι υπεύθυνη για τη διαρροή δεδομένων.
Η V Shred είναι μια εταιρεία, με έδρα το Λας Βέγκας, που προσφέρει προγράμματα γυμναστικής για γυναίκες και άνδρες, με έμφαση στις γρήγορες προπονήσεις, τα διατροφικά προγράμματα και τα συμπληρώματα διατροφής. Η εταιρεία λέει ότι έχει πελάτες σε 119 χώρες, 12 εκατομμύρια μοναδικούς επισκέπτες στο site της (ανά μήνα) και πάνω από 40.000 συνδρομητές στο πανεπιστημιακό της πρόγραμμα.
Την Πέμπτη, η ερευνητική ομάδα του vpnMentor αποκάλυψε τη διαρροή δεδομένων της V Shred. Σύμφωνα με τα στοιχεία, ένα μη προστατευμένο AWS S3 bucket εξέθεσε στοιχεία ταυτότητας τουλάχιστον 99.000 ατόμων.
Η ανακάλυψη του εκτεθειμένου bucket έγινε στις 14 Μαΐου. Αρχικά, περιείχε 1,3 εκατομμύρια αρχεία (606 GB). Τα αρχεία περιείχαν ονόματα, διευθύνσεις κατοικίας, διευθύνσεις ηλεκτρονικού ταχυδρομείου, ημερομηνίες γέννησης, αριθμούς κοινωνικής ασφάλισης, λεπτομέρειες για social media λογαριασμούς, ονόματα χρήστη, κωδικούς πρόσβασης, ηλικία, φύλο, υπηκοότητα και άλλα.
Ανάμεσα στα αρχεία, υπήρχαν και τρία αρχεία .CSV. Το πιο σημαντικό από αυτά, ήταν εκείνο που είχε μέγεθος 180MB και περιείχε τα στοιχεία ταυτότητας δεκάδων χιλιάδων ανθρώπων.
Ορισμένα τμήματα της βάσης δεδομένων, που περιείχαν οδηγούς διατροφής, προγράμματα προπόνησης και φωτογραφίες χρηστών, παρέμειναν προσβάσιμα και μετά την αποκάλυψη της διαρροής.
Τα αρχεία CSV που φαίνεται να περιέχουν πληροφορίες προπονητών και πελατών παραμένουν εκτεθειμένα.
Επιπλέον, η βάση δεδομένων περιέχει φωτογραφίες πελατών που δείχνουν “το πριν και το μετά”, δηλαδή τη σωματική κατάσταση των πελατών πριν ξεκινήσουν το πρόγραμμα γυμναστικής και διατροφής και αφού το ξεκίνησαν.
Με βάση τις πληροφορίες που βρίσκονταν στη βάση δεδομένων, δεν ήταν δύσκολο να εξακριβωθεί ότι η V Shred ήταν ο ιδιοκτήτης. Τόσο η V Shred όσο και η AWS ενημερώθηκαν για το πρόβλημα στις 18 και 20 Μαΐου, αντίστοιχα.
Η V Shred απάντησε στην ερευνητική ομάδα μέσω της εξυπηρέτησης πελατών της Amazon την 1η Ιουνίου. Στην επικοινωνία με τους ερευνητές, μέλος της ομάδας της V Shred αρνήθηκε ότι υπήρχε πρόβλημα με διαρροή δεδομένων.
Αρχικά, είπε ότι η βάση δεδομένων χρησιμοποιούνταν μόνο για την αποθήκευση web assets, CSS και media files, προσθέτοντας ότι εάν τα στοιχεία αυτά δεν ήταν δημόσια, τα μέλη δεν θα μπορούσαν να κατεβάσουν το διατροφικό και αθλητικό τους πρόγραμμα.
Επιπλέον, η V Shred είπε ότι για να αποκτήσει κάποιος πρόσβαση σε τέτοιο περιεχόμενο, θα έπρεπε να έχει κοινοποιηθεί ένας σύνδεσμος ή να έχει γίνει σύνδεση χρήστη με credentials.
Ωστόσο, οι ερευνητές εξήγησαν ότι η βάση δεδομένων είναι ανοιχτή και για ανώνυμους χρήστες.
Στις 18 Ιουνίου, το κύριο αρχείο .CSV, που περιείχε στοιχεία ταυτότητας, αφαιρέθηκε αλλά τα υπόλοιπα εξακολουθούν να είναι προσβάσιμα.
“Η V Shred είναι μια νέα εταιρεία και φαίνεται να διευθύνεται από μια μικρή ομάδα”, σημείωσε το VPNmentor. “Ωστόσο, εξακολουθεί να είναι υπεύθυνη για την προστασία των ανθρώπων που χρησιμοποιούν τα προϊόντα της και για την εγγραφή στις υπηρεσίες της. Χωρίς αυτό, η V Shred θέτει σε κίνδυνο την ιδιωτικότητα και την ασφάλεια των ατόμων αλλά και το μέλλον της ίδιας της εταιρείας”.