RSS RSS канал

Данные 31 млн пользователей виртуальной клавиатуры оказались в открытом доступе

ПОДЕЛИТЬСЯ

Удалось установить, что разработчик AI.type сохранял данные пользователей в системе управления базами данных MongoDB, не защитив ее паролем. Выяснилось, что один из серверов компании не был защищен паролем.

Удалось выяснить, что похищенные данные включают полные имена пользователей, адреса электронной почты и количество дней с момента установки приложения AI.type. Ai.type — разумная клавиатура для андроид и iOS c не менее чем 40 млн пользователей, способная изучить стиль написания и даже автоматом вставлять смайлики Emoji. Кроме того, в Go Edition по умолчанию включен режим экономии интернет-трафика. База содержит в себе основные биографические данные (имена и адреса электронной почты), информацию об устройствах (модель, номера IMSI и IMEI, разрешение экрана), а еще личную информацию (контакты, четкое положение пользователя, номер телефона, поставщик мобильной связи, IP-адрес пользователя и интернет-провайдера, ежели клавиатура использовалась при подключении к точке доступа Wi-Fi).

Существенная часть записей также содержит в себе номер телефона, название оператора, время от времени - IP-адрес и название интернет-провайдера. В некоторых случаях хранилась связанная с профилем Google информация: аватарка, дата рождения, пол.

Фрагменты информационной системы базы данных AI.type. Не менее 6 млн записей содержали данные из списка контактов пользователей (имена и номера телефонов). В открытую базу попали также списки установленных приложений, в том числе банковских сервисов и приложений для знакомств. Одна из них содержит 10,7 млн адресов электронной почты, а другая — 374,6 млн номеров. Это означает, что любой человек мог скопировать секретные данные, общий объем которых насчитывает 577 ГБ, и при всем при этом — пароль для их получения не требовался.

Эксперты Kromtech узнали, что были обнародованы данные только Android-пользователей, владельцы iPhone не пострадали.

«Теоретически, любой, кто скачал и установил на собственный телефон виртуальную клавиатуру Ai.Type, по сути слил все данные о своем телефоне в открытый доступ», — говорят уполномоченные Kromtech Security Center.

ПОДЕЛИТЬСЯ