Exclusivo: outro aplicativo de namoro falha ao proteger o servidor de produção e coloca os usuários em risco.

Por: Catalin Cimpanu

heyyo-dating.jpg

O aplicativo de namoro online Heyyo cometeu o mesmo erro que milhares de empresas cometeram antes dele – ou seja, deixou um servidor exposto na Internet sem senha.

Esse servidor com vazamento, uma instância do Elasticsearch, expôs detalhes pessoais, imagens, dados de localização, números de telefone e preferências de namoro para quase 72.000 usuários, que se acredita serem a base de usuários inteira do aplicativo.

O servidor com vazamento foi trazido à atenção do ZDNet na semana passada por pesquisadores de segurança do WizCase, que nos pediram para ajudar a investigar esse incidente de segurança. Depois de verificarmos a autenticidade dos dados, entrando em contato com alguns dos usuários cujos números de telefone foram incluídos no banco de dados, contatamos Heyyo para notificar a empresa sobre o vazamento.

A empresa de software com base em Istambul por trás do aplicativo falhou em responder a nossa pergunta por quase uma semana, e o servidor com vazamento foi desativado somente hoje, depois que o ZDNet entrou em contato ontem com a Equipe de Resposta a Emergências por Computador da Turquia (CERT).

INFORMAÇÕES VAZADAS

Durante o tempo que levamos para proteger o servidor, o back-end de Heyyo vazou alguns dos tipos mais sensíveis de informações on-line. A amplitude das informações vazadas é impressionante, para dizer o mínimo. Exceto para mensagens privadas, todos os outros dados do usuário Heyyo estavam disponíveis no servidor Elasticsearch da empresa. Isso inclui os seguintes:

  • Nomes
  • Números de telefone
  • Endereço de e-mail
  • Datas de nascimento
  • Gênero
  • Altura
  • Fotos do perfil e outras imagens
  • IDs do Facebook para usuários que vincularam seus perfis
  • IDs do Instagram para usuários que vincularam seus perfis
  • Longitude e latitude
  • Quem gostou do perfil de um usuário
  • Perfis curtidos
  • Perfis não gostados
  • Superliked profiles
  • Perfis bloqueados
  • Preferências de namoro
  • Registro e última data ativa
  • Detalhes do smartphone
heyyo-sample-data.png
Imagem: ZDNet

SERVIDOR DE PRODUÇÃO; NÃO É UM BACKUP ANTIGO

Durante o tempo em que analisamos o banco de dados, também ficou claro que o servidor era um sistema de produção ativo e não um servidor antigo usado para testes ou armazenamento de backups.

O número de usuários registrados aumentou de 71.769 para 71.921 no momento em que analisamos os dados. Também registramos uma conta de teste e vimos que ela aparece no servidor em segundos.

heyyo-profile.png
Imagem: ZDNet

Para mostrar o quão intrusivo o vazamento poderia ser, realizamos um teste simples. Pegamos os detalhes de três usuários aleatórios e, em alguns minutos, usando consultas de pesquisa do Google e scripts OSINT (inteligência de código aberto) baixados do GitHub, rastreamos facilmente e vinculamos os três usuários às identidades da vida real, LinkedIn perfis, contas de mídia social e até postagens que eles fizeram em fóruns de nicho na Internet.

Como estamos falando de um site de namoro, esse tipo de informação pode ser usado para perseguir ou extorquir usuários com informações sobre sua vida e hábitos de namoro. Este não é um cenário hipotético. Esses tipos de campanhas de extorsão ocorreram no passado , especialmente após a violação de dados de Ashley Madison.

Atualmente, não está claro se terceiros maliciosos também detectaram o servidor com vazamento de Heyyo além da equipe do WizCase, portanto, não sabemos se mais alguém pode ter baixado todas essas informações. Somente uma investigação da equipe da Heyyo poderia confirmar se esses dados caíram nas mãos erradas e se os usuários estão em perigo.

Heyyo agora se junta a uma longa lista de serviços de namoro online que não conseguiram proteger servidores. A lista inclui Ashley Madison , Jack’d , Grindr, Romeo, Recon , 3Fun , HaveAFling, HaveAAffair, HookUpDating e Luscious .

Fonte: ZDNET