Android

แอปพลิเคชั่นจำลองคีย์บอร์ดถูกเปิดเผยข้อมูลผู้ใช้มากกว่า 31 ล้านคน

แอปพลิเคชั่น ai.type ปล่อยฐานข้อมูลูกค้ามากกว่า 580 Gb อย่างไร้การป้องกัน

ข้อมูลส่วนตัวของผู้ใช้แอปพลิเคชั่นคีย์บอร์ด ai.type มากกว่า 31 ล้านคน ถูกเปิดเผยบนโลกอินเตอร์เน็ตเนื่องจากฐานข้อมูลไม่มีการป้องกัน

บันทึกข้อมูลผู้ใช้ในฐานข้อมูลของ MongoDB ขนาดมากกว่า 580 Gigabytes ถูกปล่อยให้ค้นหาได้ หลังจากที่ผู้พัฒนาแอปพลิเคชั่นไม่ได้ติดตั้งการป้องกันให้เซิร์ฟเวอร์ฐานข้อมูล

โดยแอปพลิเคชั่นนี้มีผู้ใช้มากกว่า 40 ล้านคนบนแพลตฟอร์ม Android และ iOS แต่ในเหตุการณ์นี้มีแต่ผู้ใช้ Android เท่านั้นที่ได้รับผลกระทบ

คุณ Eltan Fitusi ผู้บริหารและผู้ก่อตั้ง ai.type รายงานว่าได้ใช้ระบบรหัสผ่านรักษาความปลอดภัยไว้หลังจากที่ได้รับคำเตือนไปหลายครั้ง แต่ไม่ว่าอย่างไรก็ตามฐานข้อมูลของเขาก็ไม่ต่างกับขุมสมบัติของแฮกเกอร์สักเท่าไหร่

ในรายงานบอกว่าข้อมูลที่พบเป็นของผู้ใช้ทั้งเวอร์ชั่นฟรีและเวอร์ชั่นที่ต้องซื้อ โดยข้อมูลดังกล่าวประกอบไปด้วย ชื่อ-สกุล, อีเมล์, ตำแหน่ง, หมายเลข IMSI และ IMEI, หมายเลขเครื่อง, เวอร์ชั่นแอนดรอยด์, ข้อมูลจากโปรไฟล์ของ Google และเนื้อหาบางส่วนของรายชื่อ

VirtualKeyboard_Exposed-768x248

นอกจากนี้ในฐานข้อมูลยังมีบันทึกการใช้งานคีย์บอร์ดของผู้ใช้มากกว่า 8.6 ล้านครั้ง ซึ่งมีประวัติการพิมพ์อีเมล์และรหัสผ่านของผู้ใช้ด้วย

นาย Futusi พูดว่าความเป็นจริงไม่ได้อันตรายเหมือนที่พูดๆกัน และทางองค์กรไม่ได้พยายามที่จะสอดแนมผู้ใช้

“It was a secondary database,” เขากล่าวกับทาง BBC และบอกอีกว่าข้อมูลตำแหน่งนั้นไม่ได้แม่นยำ และพฤติกรรมที่ทางองค์กรเก็บมีเพียงแต่ตอนที่ผู้ใช้คลิกโฆษณาเท่านั้น

ผู้เชี่ยวชาญด้านความปลอดภัยของ ESET คุณ Mark James ให้ความเห็นว่า “that in itself is a massive hoard of data to hold on a well secured server away from harm’s reach, but sadly that was just not so”

“The database was not configured correctly and thus enabled full access from the internet to all the data being held, making it essentially free for all access,”

โดยบอกว่าข้อมูลที่ไม่ได้รับการป้องกันจำนวนขนาดนั้น ไม่ได้รับการตั้งค่าที่ดี และเชื่อมต่อกับอินเตอร์เน็ตแบบเต็มตัว คงไม่แปลกที่ใครก็ได้จะสามารถเข้าถึงได้ฟรีๆ

SwiftKey แอปพลิเคชั่นคีย์บอร์ดรายอื่นได้แชร์ประเด็นความปลอดภัยที่เกิดขึ้นเมื่อเดือนกรกฎาคมที่ผ่านมา เกี่ยวกับกรณีที่ผู้ใช้ได้รับคำศัพท์แนะนำจากระบบที่ได้มาจากการเก็บข้อมูลจากผู้ใช้รายอื่น ซึ่งมีอีเมล์ เบอร์โทรศัพท์อยู่ด้วย ณ ตอนนั้นทาง SwiftKey บอกว่าเป็นความผิดพลาดของโปรแกรมที่เกิดการเชื่อมต่อที่ผิดพลาดกับเซิร์ฟเวอร์ Cloud

บทเรียนของเหตุการณ์เหล่านี้ก็คือผู้ที่ต้องการใช้งานแอปพลิเคชั่ยคีย์บอร์ดต้องเลือกใช้งานแอปพลิเคชั่นที่ไว้ใจได้ เนื่องจากในขณะที่เราพิมพ์ข้อความที่เป็นข้อมูลสำคัญ ทางผู้พัฒนาแอปพลิเคชั่นจะได้รับข้อมูลเหล่านั้นด้วย

Author: TOMÁŠ FOLTÝN
Source:
https://www.welivesecurity.com/2017/12/07/keyboard-app-personal-data-31-million-users/
Translated by: Worapon H.

%d bloggers like this: