Η κορυφαία εφαρμογή ακινήτων Android διαρρέει μισό εκατομμύριο κωδικούς πρόσβασης χρηστών στο διαδίκτυο

By

Marizas Dimitris

On

Ιαν 5, 2024

Μια εφαρμογή ακινήτων για κινητά με περί

που

μισό εκατομμύριο χρήστες προφανώς διατηρούσε ευαίσθητα δεδομένα χρήστη σε μια απροστάτευτη βάση δεδομένων, δωρεάν διαθέσιμη για όλους όσους ήξεραν πού να ψάξουν.

Τα δεδομένα που φυλάσσονταν εκεί περιείχαν αρκετές πληροφορίες για τους χάκερ για να πραγματοποιήσουν επιθέσεις κλοπής ταυτότητας,

phishing

και άλλες

απάτες

κοινωνικής μηχανικής.

Ερευνητές στο

Cybernews

, ο οποίος ανακάλυψε τη βάση δεδομένων στις αρχές Νοεμβρίου

2023

, αποκαλύπτοντας ότι το MyEstatePoint Property

Search

είχε μια δημόσια προσβάσιμη εφαρμογή MongoDB, που περιείχε τα ονόματα και τους κωδικούς πρόσβασης των χρηστών σε απλό κείμενο. Επιπλέον, η βάση δεδομένων περιείχε τις διευθύνσεις ηλεκτρονικού ταχυδρομείου των ατόμων, τα κινητά τηλέφωνα, τις πόλεις, τις περιγραφές επιχειρήσεων και τις μεθόδους εγγραφής.

Ανακύκλωση κωδικών πρόσβασης

«Αυτό το ολοκληρωμένο σύνολο δεδομένων εγκυμονεί σοβαρούς κινδύνους, καθώς οι φορείς απειλών θα μπορούσαν να εκμεταλλευτούν τις εκτεθειμένες πληροφορίες για μη εξουσιοδοτημένη πρόσβαση, κλοπή ταυτότητας, δόλιες δραστηριότητες και ενδεχομένως να θέσουν σε κίνδυνο το απόρρητο και την ασφάλεια των επηρεαζόμενων ατόμων», είπε η ομάδα.

Η εφαρμογή αναπτύχθηκε από έναν προγραμματιστή λογισμικού με έδρα την Ινδία που ονομάζεται NJ Technologies. Μετά την ανακάλυψη, οι ερευνητές επικοινώνησαν με την ομάδα, αλλά δεν έλαβαν σχόλια – αν και η βάση δεδομένων στη συνέχεια κλειδώθηκε.

Οι περισσότεροι από τους χρήστες είναι Ινδοί, πρόσθεσαν οι ερευνητές. Αν και το κλείδωμα της βάσης δεδομένων είναι ένα ευπρόσδεκτο βήμα, εξακολουθούν να υπάρχουν κίνδυνοι. Πρώτον, δεν γνωρίζουμε εάν κάποιοι παράγοντες απειλής είχαν πρόσβαση στη βάση δεδομένων εκ των προτέρων και εάν το έκαναν – τι έκαναν με τις πληροφορίες που βρέθηκαν εκεί; Είναι γνωστό ότι πολλοί άνθρωποι χρησιμοποιούν συχνά τον ίδιο συνδυασμό ονόματος χρήστη/κωδικού πρόσβασης σε πολλές υπηρεσίες, για λόγους ευκολίας. Σε αυτήν την περίπτωση, οι φορείς απειλών θα μπορούσαν να χρησιμοποιήσουν τις πληροφορίες που αποκτήθηκαν μέσω της Αναζήτησης ιδιοκτησίας του MyEstatePoint για να διακυβεύσουν και άλλες υπηρεσίες.

Με την αυτοματοποίηση της διαδικασίας σε μια επίθεση ωμής βίας, οι φορείς απειλών θα μπορούσαν να δοκιμάσουν τα ονόματα χρήστη και τους κωδικούς πρόσβασης σε μια μυριάδα υπηρεσιών γρήγορα και αποτελεσματικά. Γενικά συνιστάται στους χρήστες να μην χρησιμοποιούν τους ίδιους κωδικούς πρόσβασης για πολλές υπηρεσίες και να βεβαιωθούν ότι τα διαπιστευτήρια σύνδεσής τους είναι αδύνατο να μαντέψουν.

Το TechRadar Pro επικοινώνησε με το MyEstatePoint για σχόλια.

VIA:

TechRadar.com/