Twórca klawiatury ai.type przypadkowo ujawnił dane 31 milionów użytkowników

2 minuty czytania
Komentarze

Gboard, czyli klawiatura tworzona przez Google jest świetną aplikacją, jednak nie każdemu jest w stanie przypaść do gustu, co potwierdzam własnymi doświadczeniami. Z tego powodu użytkownicy Androida często decydują się na podmianę klawiatury na inną, pobraną ze sklepu Google Play. Niestety klawiatura mimowolnie ma dostęp do wszystkich danych wpisywanych przez użytkownika i dopóki bezmyślnie nie synchronizuje ich z serwerami, to wszystko jest dość bezpieczne. Niestety okazuje się, że zdarzają się też wyjątki – przykładem jest twórca aplikacji ai.type, który przypadkowo ujawnił dane 31 milionów użytkowników programu.

Jaka jest skala problemu?

Niestety, skala problemu z ujawnieniem danych użytkowników aplikacji jest gigantyczna. Szacuje się, że zagrożonych jest aż 31 milionów osób korzystających z programu. Wśród danych, które mogły wyciec do Internetu (na całe szczęście jeszcze nie wiadomo, czy ktokolwiek skorzystał z udostępnionych informacji) znajdują się m.in. adresy e-mail użytkowników oraz adresatów wiadomości, numery telefonów (zarówno użytkowników, jak i te z listy kontaktów) oraz precyzyjna lokalizacja urządzenia. Jeśli okaże się, że baza danych wpadła w niepowołane ręce, to osoby korzystające z aplikacji mogą mieć spory problem – warto pamiętać, że plik z danymi ma aż 577 gigabajtów i zawiera w sobie ponad 374 miliony numerów telefonów komórkowych!

Czy baza miała szansę nie dostać się w niepowołane ręce?

Okazuje się, że tak i miejmy nadzieję, że rzeczywiście tak było. Firma Kromtech Security Center, która zajmuje się bezpieczeństwem w sieci, odkryła, że baza danych MongoDB, w której twórca aplikacji, Eitan Fitusi, przechowuje prywatne dane użytkowników… nie jest zabezpieczona hasłem. Okazuje się, że w wyniku prostego błędu deweloper zapomniał zabezpieczyć bazy danych, przez co naraził na niebezpieczeństwo setki milionów osób.

Zobacz też: Sporo smartfonów nie wykorzysta pełnego potencjału Oreo. 

Co stało się dalej?

Na całe szczęście dla użytkowników, ekipa z Kromtech Security Center zareagowała błyskawicznie i skontaktowała się z autorem aplikacji przed publikacją informacji o luce w zabezpieczeniach.  W tym momencie wszystkie pliki są już odpowiednio zabezpieczone, lecz niesmak oraz ciągłe ryzyko zagrożenia pozostają. Warto pamiętać, że nie jest to pierwsza wpadka twórcy ai.type – sześć lat temu jego program przyłapano na tym, że wysyłał wszystkie stuknięcia w przyciski na swoje serwery. Sytuację tę idealnie skomentował badacz bezpieczeństwa z firmy Kromtech Security Center, Bob Diachenko. W swojej wypowiedzi wystosował on pytanie do użytkowników – czy warto oddawać swoje prywatne dane osobowe w zamian za możliwość korzystania z darmowej usługi lub programu? Warto zastanowić się nad tym komentarzem, ponieważ faktycznie daje on do myślenia.

Źródło: Kromtech Security Center

Motyw