Laporkan: Kebocoran Aplikasi Kencan Pesan Pengguna Eksplisit & Data Pribadi Lainnya


Tim peneliti vpnMentor baru-baru ini menemukan kebocoran data dari database aplikasi kencan JCrush.

Peneliti keamanan, Noam Rotem dan Ran Locar - anggota kunci tim peneliti vpnMentor - menemukan pelanggaran tersebut, yang mengekspos hingga 200.000 PII pengguna, preferensi, dan (terkadang eksplisit) percakapan pribadi dalam aplikasi JCrush. JCrush adalah bagian dari keluarga Crush Mobile dari aplikasi kencan (1,5 juta pengguna), yang diakuisisi pada tahun 2018 oleh Northsight Capital, Inc. (OTCQB: NCAP).

Tim kami ditemukan 18.454 GB catatan tidak terenkripsi di database Mongo. Pada saat penerbitan, basis data tidak lagi dapat diakses dan kebocoran tampaknya telah dihentikan.

Catatan editor: Baik vpnMentor maupun tim riset keamanan tidak menginginkan siapa pun untuk mengeksploitasi data ini, itulah sebabnya kami segera menghubungi JCrush pada saat penemuannya. Kami tidak melihat secara mendalam ke dalam salah satu data yang bocor; tim kami hanya menemukan dan mengkonfirmasi keberadaannya.

Garis Waktu Penemuan dan Reaksi

Pelanggaran Data Ditemukan 30 Mei 2019
vpnMentor Team Menghubungi JCrush 31 Mei 2019
Kebocoran Data Tetap 31 Mei 2019
Tidak ada balasan dari JCrush; Menghubungi Northsight Capital 2 Juni 2019
Northsight Capital Dibalas 4 Juni 2019

Informasi Termasuk dalam Basis Data

Tingkat keparahan kebocoran ini sangat berdampak, karena sifat dari data yang dirilis. Termasuk dalam kebocoran adalah semua korespondensi pribadi antara pengguna, tidak terenkripsi. Banyak dari percakapan ini sarat dengan pesan eksplisit dan juga detail pribadi, bersama dengan informasi pengenal pribadi.

Laporkan: Kebocoran Aplikasi Kencan Pesan Pengguna Eksplisit & Data Pribadi Lainnya

Selain pesan pribadi di antara pengguna JCrush adalah data tambahan, termasuk profil lengkap dan foto, media pribadi, profil dan token Facebook, dan banyak lagi.

Laporkan: Kebocoran Aplikasi Kencan Pesan Pengguna Eksplisit & Data Pribadi Lainnya

Jadi, apa artinya ini dalam istilah dunia nyata? Dari kebocoran, kami menemukan data pengguna yang sensitif dan korespondensi yang mencakup:

  • Nama pengguna Pertama dan Terakhir
  • Alamat email
  • Token Facebook, yang dapat digunakan untuk masuk
  • Profil pengguna lengkap
  • Foto profil
  • Pesan pribadi - terkadang sangat intim - dan foto sensitif dikirim dalam pesan itu
  • Berapa banyak ‘gesekan’ yang diterima pengguna per bulan
  • Kapan dan dari mana mereka terakhir login

JCrush - sesuai dengan Kebijakan Privasi mereka - mencatat dan menyimpan data berikut tentang pengguna mereka, yang semuanya rentan terhadap pelanggaran terbaru ini:

  • DITEMUKAN nomor ID unik perangkat seluler Pengguna
  • DITEMUKAN lokasi geografis perangkat seluler Pengguna saat aplikasi aktif berjalan
  • DITEMUKAN alamat IP komputer Pengguna
  • DITEMUKAN Informasi teknis tentang komputer atau perangkat seluler pengguna (seperti jenis perangkat, browser web, atau sistem operasi)
  • DITEMUKAN Preferensi dan pengaturan pengguna (zona waktu, bahasa, preferensi privasi, preferensi produk, dll.)
  • DITEMUKAN URL halaman web terakhir yang dikunjungi pengguna sebelum datang ke situs JCrush
  • DITEMUKAN Tombol, kontrol, dan iklan yang diklik pengguna (jika ada)
  • DITEMUKAN Berapa lama pengguna menggunakan JCrush dan layanan serta fitur mana yang telah digunakan pengguna
  • DITEMUKAN Status JCrush online atau offline

Dampak Kebocoran Data

Sementara memeriksa data, kami menemukan rincian pengguna lengkap dan pesan dari beberapa pegawai pemerintah, termasuk yang dipekerjakan oleh Institut Kesehatan Nasional AS, Urusan Veteran AS, Kementerian Tenaga Kerja dan Ketenagakerjaan Brasil, departemen budaya Inggris, Keadilan Israel Departemen, dan banyak lagi. Kebocoran ini dengan mudah menempatkan individu-individu dan orang lain yang serupa dalam peran publik dalam risiko pemerasan oleh peretas jahat.

Laporkan: Kebocoran Aplikasi Kencan Pesan Pengguna Eksplisit & Data Pribadi Lainnya

JCrush menawarkan 'mode penyamaran' khusus, di mana pengguna dapat membayar premi untuk menyembunyikan profil mereka kepada semua pengguna sampai mereka telah 'menggesekkan kanan' pada mereka. Kebocoran ini berpotensi mengekspos mereka yang ingin tetap anonim dalam upaya kencan mereka - termasuk individu dalam sorotan publik atau anggota yang menikah.

Pelanggaran data ini menyoroti jenis informasi yang dapat tersedia untuk banyak ancaman dunia maya, dan bagaimana mereka dapat mempengaruhi kehidupan ratusan ribu orang yang rentan terhadap keinginan para penjahat digital..

Laporkan: Kebocoran Aplikasi Kencan Pesan Pengguna Eksplisit & Data Pribadi Lainnya

Aplikasi kencan dan pengait lainnya, seperti Tinder, diakui merekam dan menyimpan informasi dan pesan pribadi pengguna. Ini adalah contoh utama dari apa yang dapat diakses oleh publik - dengan atau tanpa gangguan.

Bagaimana Kami Menemukan Pelanggaran Data

Tim peneliti vpnMentor saat ini sedang melakukan proyek pemetaan web yang sangat besar. Menggunakan pemindaian port untuk memeriksa blok IP yang diketahui mengungkapkan celah dalam sistem web, yang kemudian diperiksa kerentanannya, termasuk potensi paparan data dan pelanggaran..

Dengan memanfaatkan pengalaman dan pengetahuan selama bertahun-tahun, tim peneliti memeriksa database untuk memastikan identitasnya.

Setelah identifikasi, kami menghubungi pemilik basis data untuk melaporkan kebocoran. Kapan pun memungkinkan, kami juga memberi tahu mereka yang terkena dampak langsung. Ini adalah versi kami untuk mengeluarkan karma yang baik di web - untuk membangun internet yang lebih aman dan terlindungi.

Nasihat dari Para Ahli

Apakah kebocoran data ini dapat dicegah? Benar! Perusahaan dapat menghindari situasi seperti itu dengan segera mengambil langkah-langkah keamanan penting, termasuk:

  1. Pertama dan terpenting, amankan server Anda.
  2. Terapkan aturan akses yang tepat.
  3. Jangan pernah meninggalkan sistem yang tidak memerlukan otentikasi terbuka ke internet.

Untuk informasi lebih lanjut tentang cara melindungi bisnis Anda, lihat cara mengamankan situs web dan basis data online Anda dari peretas.

Lihat Lebih Banyak Bocoran Data yang Kami Temukan

vpnMentor adalah situs web tinjauan VPN terbesar di dunia. Laboratorium penelitian kami adalah layanan pro bono yang berupaya untuk membantu komunitas online mempertahankan diri terhadap ancaman dunia maya sembari mendidik organisasi untuk melindungi data pengguna mereka.

Kami baru-baru ini juga menemukan kebocoran data cybersecurity grup hotel, serta pelanggaran data yang mengekspos lebih dari 80 juta rumah tangga AS. Anda mungkin juga ingin membaca Laporan Kebocoran VPN dan Laporan Statistik Privasi Data kami.

Silakan bagikan laporan ini di Facebook atau tweet saja.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me