חברת Spyfone שמוכרת תוכנות ריגול של צרכנים להורים ולמעסיקים, הדליפה את "הנתונים האישיים" באמצעות דלי האחסון של שירותי האינטרנט של אמזון (AWS) S3, על פי דוח של לוח האם. חוקר אבטחה אנונימי דיווח ללוח האם כי הוא מצא terrabytes של נתונים, כולל selfies, הודעות טקסט, הקלטות אודיו, אנשי קשר, מיקום, סיסמאות hashed ואת כניסות ואת הודעות Facebook, אשר כולם נחשפו על הדליפה הציבורית של AWS S3 של . Spyfone אספה נתונים אלה עבור לקוחותיה, אשר התקינו את היישום על הילדים או הטלפונים החכמים של העובדים שלהם כדי לעקוב בדיוק מה הם עושים.
החוקר ציין כי הדלי S3 כרגע מכיל את הנתונים מ 3,666 טלפונים מעקב מ 2,208 לקוחות. מעבר למאות אלפי התמונות והקלטות שמע הקשורות לטלפונים אלה, החוקרים מצאו גם 44,109 כתובות דוא"ל ייחודיות.
יתר על כן, החוקרים למדו כי Spyfone אפילו לא דורשת סיסמה עבור גישה לשרתים backend משלה. כך החוקר היה גם מסוגל ליצור חשבון מנהל משלו על השרתים של החברה.
ממשקי ה- API של Spyfone נותרו ללא הגנה גם הם, דבר שעלול היה לאפשר לכל מי שניחש את כתובות האתרים או יירט אותם כדי לראות בדיוק מי היו לקוחותיו של Spyfone.
הדליפה מסמנת מקרה נוסף של הרשאות לא נכונות בדלי AWS המוביל לפגיעות. מקרים קודמים, כולל אלה שנגרמו על ידי misconfiguration על ידי הלקוח (בניגוד בצד של AWS), התרחשו ב אקסנצ'ר , טסלה , GoDaddy , הפנטגון האמריקאי Robocaller Robocent .
Comments