Данные пользователей виртуальной клавиатуры оказались в открытом доступе

Проблемный сервер принадлежит Эйтану Футуси, соучредителю AI.type — настраиваемой виртуальной клавиатуры с числом пользователей более чем 40 млн. по всему миру, сообщает "SecurityLabRu".

Данный сервер работал без парольной защиты, в результате доступ к клиентской базе данных компании, включавшей свыше 577 ГБ конфиденциальной информации, мог получить кто угодно. Судя по всему, БД содержит информацию только пользователей Android-версии приложения.

Утечка была обнаружена исследователями компании Kromtech Security Center. База данных включала записи о 31 293 959 пользователях, содержавших конфиденциальную информацию, в том числе полное имя владельца устройства, номер телефона, название и модель гаджета, название мобильной сети, данные о разрешении экрана и установленных языковых пакетах, версии ОС Android, идентификаторах IMSI и IMEI, связанном с номером телефона адресом электронной почты, месте жительства, фотографии, а также ссылки и информацию, связанную с профилями в социальных сетях. Более 6 млн. записей содержали данные из списка контактов пользователей (имена и номера телефонов). В настоящее время неясно, зачем приложение загружало на сервер контакты пользователей.

В ряде случаев записи включали IP-адреса и имя интернет-провайдера, а также списки установленных на устройстве приложений.

Несмотря на заявления AI.type, что "конфиденциальность пользователей является главным приоритетом […] любой текст, введенный с помощью клавиатуры, шифруется", база данных оказалась незашифрованной. Как оказалось, компания записывает и хранит введенный пользователем текст – одна из таблиц содержала 8,6 млн. записей, включавших личную и конфиденциальную информацию, в том числе номера телефонов, поисковые запросы и в ряде случаев адреса электронной почты и пароли.

Фото: "SecurityLabRu"