ΑρχικήsecurityBlisk browser: Διαρροή δεδομένων χρηστών μέσω εκτεθειμένου server

Blisk browser: Διαρροή δεδομένων χρηστών μέσω εκτεθειμένου server

Μια εταιρεία ανάπτυξης και πώλησης browser εξέθεσε δεδομένα χρηστών, καθώς άφησε εκτεθειμένο στο διαδίκτυο έναν Elasticsearch server, χωρίς να τον προστατεύσει με κάποιο κωδικό πρόσβασης. Υπεύθυνη για τη διαρροή δεδομένων είναι η Blisk, μια εσθονική εταιρεία που αναπτύσσει το γνωστό Blisk browser.

Ο Blisk browser είναι Chromium-based και απευθύνεται στην κοινότητα των προγραμματιστών που ασχολούνται με την ανάπτυξη εφαρμογών κλπ. Διαθέτει πολλά εργαλεία κατάλληλα για προγραμματισμό, δυνατότητες προεπισκόπησης συσκευών και εργαλεία που επιτρέπουν τη συνεργασία μεταξύ ειδικών για την υλοποίηση projects.

Ο Blisk browser κυκλοφόρησε το Μάιο του 2016 και αναπτύσσεται συνεχώς, ενώ όλο και περισσότεροι χρήστες τον προτιμούν. Στο site του, αναφέρεται ότι χρησιμοποιείται από περισσότερες από 40.000 εταιρείες, συμπεριλαμβανομένων μερικών μεγάλων εταιρειών όπως η HP, η Xerox, η NASA, η Unicef, η Deloitte, η UEFA, η Vice News και η Pandora.

Τον περασμένο Δεκέμβριο, η εταιρεία υπέστη μια παραβίαση δεδομένων, λόγω μιας απροσεξίας. Η διαρροή δεδομένων εντοπίστηκε στις 2 Δεκεμβρίου 2019, όταν οι Noam Rotem και Ran Locar, δύο ερευνητές του vpnMentor, ανακάλυψαν έναν Elasticsearch server της εταιρείας, ο οποίος είχε μείνει εκτεθειμένος στο διαδίκτυο.

Οι ερευνητές βρήκαν προσωπικά δεδομένα για χιλιάδες προγραμματιστές που χρησιμοποιούσαν τον Blisk browser.

Συνολικά, βρήκαν 2,9 εκατομμύρια αρχεία (3,4 GB δεδομένα), τα οποία παρέμειναν εκτεθειμένα στο διαδίκτυο.

Τα δεδομένα ήταν κυρίως log entries για ενέργειες που έκαναν οι προγραμματιστές στο εσωτερικό του browser (π.χ καταχώριση προφίλ ή πρόσκληση φίλων).

Στα εκτεθειμένα δεδομένα περιλαμβάνονταν email διευθύνσεις και user-agent strings.

Το vpnMentor δήλωσε ότι ενημέρωσε την Blisk στις 4 Δεκεμβρίου. Την επόμενη μέρα, η εταιρεία φρόντισε να ασφαλίσει τον server.

Η ομάδα του Blisk browser επιβεβαίωσε τη διαρροή. Ωστόσο, είπε ότι παρά το σημαντικό αυτό σφάλμα, δεν διέρρευσαν ευαίσθητες πληροφορίες, όπως κωδικοί πρόσβασης, οικονομικά στοιχεία ή προσωπικές πληροφορίες (PII), όπως ονόματα, αριθμοί τηλεφώνου κλπ. Αυτά τα στοιχεία δεν ήταν αποθηκευμένα σε αυτόν τον server.

Ωστόσο, σύμφωνα με τους ερευνητές και αυτά τα δεδομένα, που υπήρχαν στον server, θα μπορούσαν να χρησιμοποιηθούν από hackers για διάφορους σκοπούς.

Τα δεδομένα θα μπορούσαν να χρησιμοποιηθούν για τη στόχευση προγραμματιστών που εργάζονται για ιδιωτικές εταιρείες. Ωστόσο, μέχρι τώρα, δεν γνωρίζουμε αν είχε ανακαλύψει κάποιος κακόβουλος hacker τα εκτεθειμένα δεδομένα.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS