Παρασκευή, 19 Φεβρουαρίου, 19:55
Αρχική security Snewpit: Διέρρευσαν 80.000 αρχεία χρηστών από την πλατφόρμα ειδήσεων της Αυστραλίας

Snewpit: Διέρρευσαν 80.000 αρχεία χρηστών από την πλατφόρμα ειδήσεων της Αυστραλίας

Σύμφωνα με το Security Affairs, οι ερευνητές του CyberNews ανακάλυψαν ένα εκτεθειμένο data bucket που ανήκει στο Snewpit, μια πλατφόρμα ανταλλαγής ειδήσεων της Αυστραλίας. Το bucket περιέχει περίπου 80.000 αρχεία χρηστών, μέσα στα οποία περιλαμβάνονται usernames, πλήρη ονόματα, διευθύνσεις email και εικόνες προφίλ. Αυτά τα αρχεία ήταν αποθηκευμένα σε Amazon Web Services (AWS) server στον οποίο το κοινό είχε πρόσβαση, πράγμα που σημαίνει ότι οποιοσδήποτε με άμεση διεύθυνση URL στα αρχεία θα μπορούσε να έχει πρόσβαση και να κατεβάσει τα δεδομένα που είχαν μείνει ανοιχτά. Τα αρχεία με τις ευαίσθητες πληροφορίες που περιέχονται στο bucket του Snewpit δεν είναι πλέον προσβάσιμα, καθώς η εταιρεία τα ασφάλισε στις 24 Σεπτεμβρίου.

Snewpit-Αυστραλίας

Τί δεδομένα περιέχει το εκτεθειμένο bucket;
Το bucket του Snewpit περιέχει πάνω από 26.200 αρχεία, μεταξύ των οποίων συγκαταλέγονται τα ακόλουθα:

  • 256 αρχεία βίντεο που μαγνητοσκοπήθηκαν και ανέβηκαν από χρήστες και προγραμματιστές του Snewpit
  • 23.586 αρχεία εικόνας που τεκμηριώνουν τοπικές εκδηλώσεις που ανέβηκαν από χρήστες της πλατφόρμας της Αυστραλίας
  • 4 αρχεία CSV, ένα από τα οποία περιέχει πάνω από 79.700 εγγραφές χρηστών, συμπεριλαμβανομένων πλήρων ονομάτων, διευθύνσεων email, usernames, περιγραφών χρηστών, τελευταίων χρόνων σύνδεσης και συνολικού χρόνου που αφιερώθηκε στην εφαρμογή του Snewpit
  • Χιλιάδες εικόνες προφίλ χρηστών.

Ακολουθούν ορισμένα από τα δεδομένα που διακυβεύονται με την έκθεση του bucket.

  • Το αρχείο CSV περιέχει εγγραφές χρηστών που κατέβασαν και εγκατέστησαν την εφαρμογή του Snewpit, η οποία επί του παρόντος έχει πάνω από 50.000 εγκαταστάσεις στο App Store της Apple και στο Google Play store.
  • Τα αρχεία βίντεο που είναι αποθηκευμένα στο bucket φαίνεται να δείχνουν ακατέργαστα βίντεο από δημοσιεύσεις ειδήσεων, συμπεριλαμβανομένων περιστατικών εγκληματικότητας.
  • Μεταξύ των δεδομένων περιλαμβάνονται και εικόνες προφίλ χρηστών.
Snewpit-Αυστραλίας-αρχεία-διαρροή

Ποιος είναι ο ιδιοκτήτης του bucket;
Το διαθέσιμο στο κοινό bucket της Amazon ανήκει στην Snewpit, μια εταιρεία software με έδρα την Αυστραλία. Το Snewpit είναι μια peer-to-peer εφαρμογή που δίνει τη δυνατότητα στους χρήστες της να δημιουργούν, να βρίσκουν και να μοιράζονται ειδήσεις σε πραγματικό χρόνο, καθώς και να λαμβάνουν ειδοποιήσεις για ειδήσεις που δημοσιεύονται εντός 5 χιλιομέτρων από την τοποθεσία τους. Σύμφωνα με τους προγραμματιστές, η εφαρμογή έχει ως στόχο να βοηθήσει τους χρήστες να σχηματίσουν μια παγκόσμια κοινότητα πολιτών δημοσιογράφων, να αναφέρουν και να ανακαλύπτουν τοπικά νέα και γεγονότα που συμβαίνουν γύρω τους. Η εφαρμογή χρησιμοποιείται ως επί το πλείστον από Αυστραλούς, ενώ διαθέτει και χρήστες στις ΗΠΑ και το Ηνωμένο Βασίλειο.

Ποιος είχε πρόσβαση στα δεδομένα;
Σύμφωνα με τον ιδρυτή της Snewpit, Charlie Khoury, το bucket εκτέθηκε για 5 εβδομάδες αφότου η ομάδα ανάπτυξης έκανε server αλλαγές στις αναφορές του συστήματος. Ενώ η Snewpit δεν έχει παρατηρήσει καμία ύποπτη δραστηριότητα, η εταιρεία εξετάζει όλα τα αρχεία καταγραφής server για να επιβεβαιώσει ότι συνέβη κάτι τέτοιο. Συγκεκριμένα, ο Khoury επεσήμανε ότι η εταιρεία θα εξετάσει όλες τις ρυθμίσεις ελέγχου πρόσβασης και θα διασφαλίσει ότι τα δεδομένα των χρηστών της είναι ασφαλή και κρυπτογραφημένα.

Τα αρχεία ήταν αποθηκευμένα σε έναν δημόσια προσβάσιμο Amazon S3 server, επομένως οι χάκερς μπορούσαν να βρουν απροστάτευτα Amazon buckets σχετικά εύκολα. Δεδομένου ότι αυτά τα buckets δεν διαθέτουν κάποια προστασία από μη εξουσιοδοτημένη πρόσβαση, υπάρχει πιθανότητα να έχουν κλαπεί τα δεδομένα από χάκερς για κακόβουλους σκοπούς κατά τη διάρκεια των 5 εβδομάδων.

Snewpit-Αυστραλίας-αρχεία-διαρροή

Τί συνέπειες έχει η διαρροή των ευαίσθητων αρχείων;
Τα αρχεία που είναι αποθηκευμένα στο εκτεθειμένο bucket του Snewpit της Αυστραλίας δεν περιέχουν πολύ ευαίσθητες πληροφορίες, όπως σάρωση προσωπικών εγγράφων, κωδικούς πρόσβασης ή αριθμούς κοινωνικής ασφάλισης. Ωστόσο, ακόμη και αυτά τα δεδομένα μπορούν να τα χρησιμοποιήσουν χάκερς για να εκτελέσουν κακόβουλες και “δόλιες” δραστηριότητες. Τα στοιχεία επικοινωνίας, όπως τα πλήρη ονόματα και οι διευθύνσεις email, μπορούν να χρησιμοποιηθούν από phishers και scammers σε στοχευμένες επιθέσεις εναντίον των εκτεθειμένων χρηστών του Snewpit, με την αποστολή κακόβουλων spam μηνυμάτων. Επιπλέον, οι χάκερς ενδέχεται να συνδυάσουν τα δεδομένα που βρίσκονται στο bucket με προηγούμενες παραβιάσεις σε άλλα buckets, για να δημιουργήσουν πιο ακριβή προφίλ πιθανών στόχων, με στόχο την κλοπή ταυτότητας.

Τί ακριβώς συνέβη στα δεδομένα;
Οι ερευνητές ανακάλυψαν το bucket του Snewpit στα τέλη Σεπτεμβρίου κι επικοινώνησαν αμέσως με την εταιρεία ώστε να διασφαλιστεί το bucket. Η ομάδα της Snewpit ανταποκρίθηκε μέσα σε λίγα λεπτά και ασφάλισε τα αρχεία την ίδια ημέρα.

Τί να κάνετε εάν έχετε επηρεαστεί από τη διαρροή;
Εάν έχετε λογαριασμό στο Snewpit της Αυστραλίας, ενδέχεται τα αρχεία σας να έχουν εκτεθεί σε αυτήν την παραβίαση. Για να προστατεύσετε τα δεδομένα σας και να αποφύγετε τυχόν πιθανές βλάβες από κακόβουλους παράγοντες, συνιστάται να κάνετε τα ακόλουθα:

  • Χρησιμοποιήστε τον ελεγκτή διαρροής προσωπικών δεδομένων του CyberNews, για να δείτε εάν έχει διαρρεύσει η διεύθυνση email σας.
  • Αλλάξτε αμέσως τον κωδικό πρόσβασης του email σας και χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης.
  • Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων (2FA) στο email σας και σε άλλους διαδικτυακούς λογαριασμούς σας.
  • Να είστε προσεκτικοί για εισερχόμενα spam και phishing emails. Μην κάνετε κλικ σε κάτι που φαίνεται ύποπτο, συμπεριλαμβανομένων emails από αποστολείς που δεν γνωρίζετε.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...

Οι δωροκάρτες του Xbox πωλούνται με έκπτωση 10% στο Amazon

Οι κάτοχοι των Xbox μπορούν να εξοικονομήσουν λίγα χρήματα σε παιχνίδια, add-ons, συνδρομές και πολλά άλλα, αν ψωνίσουν τις δωροκάρτες Xbox στο...

Perseverance: Το διαστημικό όχημα της NASA προσεδαφίστηκε στον Άρη!

Το διαστημικό όχημα «Perseverance» προσεδαφίστηκε επιτυχώς χθες, λίγο πριν τις 11 το βράδυ ώρα Ελλάδος στον Άρη. Στόχος αυτής της αποστολής της...

YouTube: Μπορείτε να αναπαράγετε βίντεο 4K σε συσκευές με οθόνες χαμηλής ανάλυσης

Η εφαρμογή Youtube σε Android σας επιτρέπει να αναπαράγετε βίντεο με ανάλυση έως 4K. Το μόνο που χρειάζεστε είναι ένα τηλέφωνο με...

Top θέσεις Software Engineering και δεξιότητες coding για το 2021

Λόγω του COVID-19, οι προσπάθειες πρόσληψης και οι ευκαιρίες απασχόλησης σημείωσαν σημαντική πτώση πέρυσι. Ωστόσο, ο κλάδος της τεχνολογίας αποδείχθηκε πιο ανθεκτικός...
00:10:13

Phishing emails: Πώς να τα αναγνωρίσετε και πώς να προστατευτείτε;

https://www.youtube.com/watch?v=iME-CzlKVzc Το phishing είναι ίσως η μεγαλύτερη απειλή στον κυβερνοχώρο εδώ και περισσότερα από πέντε χρόνια. Γι΄...

ΗΠΑ και Ηνωμένο Βασίλειο καταδικάζουν το Facebook για το block στην Αυστραλία

Πολιτικοί, ειδησεογραφικοί πράκτορες και ομάδες πολιτικών δικαιωμάτων στο Ηνωμένο Βασίλειο και τις ΗΠΑ έχουν στοχοποιήσει το Facebook για την απόφασή του να...

Το Vaio Z (2021) κυκλοφόρησε – Ποιες είναι οι προδιαγραφές του

Το Vaio Z (2021) κυκλοφόρησε ως το τελευταίο laptop της Vaio Corporation που εδρεύει στην Ιαπωνία. Το laptop έρχεται με ένα περίγραμμα...

Κλωνοποιήθηκε με επιτυχία ένα κουνάβι που απειλείται με εξαφάνιση

Σε ότι αφορά την κλωνοποίηση, η πρώτη σας σκέψη πιθανότατα δεν είναι ένα μαυροπόδαρο κουνάβι που ονομάζεται Elizabeth Ann – αλλά μάλλον...