¡Dios mío!  Impacto de 10 millones en la exposición de datos de Pray.com - Calendae | Informática, Electrónica, CMS, Ciberseguridad

¡Dios mío! Impacto de 10 millones en la exposición de datos de Pray.com

Hola, un placer verte por aquí. Soy Eduardo Arroyo y esta vez hablaremos sobre ¡Dios mío! Impacto de 10 millones en la exposición de datos de Pray.com

¡Dios mío! Impacto de 10 millones en la exposición de datos de Pray.com

La información expuesta en un depósito de nube pública incluía PII, información de donaciones de iglesias, fotos y listas de contactos de usuarios.

Según los investigadores, la aplicación de fe cristiana Pray.com filtró datos privados de hasta 10 millones de personas.

La aplicación ofrece «oraciones diarias e historias bíblicas para inspirar, instruir y ayudarlo a dormir» por suscripción. Las suscripciones oscilan entre $ 50 y $ 120. Ofrece una variedad de contenido de audio, incluidos servicios de televangelistas como Joel Osteen y grabaciones religiosas con voces de celebridades como Kristin Bell y James Earl Jones.

Ha sido descargado por más de 1 millón de personas en Google Play y se ubica como la aplicación de estilo de vida número 24 en la App Store de Apple.

Los analistas de VpnMentor encontraron varias bases de datos en la nube abiertas y de acceso público (buckets S3 de Amazon Web Services, en este caso) que pertenecen a Pray.com, que contienen 1,9 millones de archivos, alrededor de 262 GB de datos. La mayor parte de esto era información interna, pero uno de los depósitos contenía datos relacionados, dijeron los investigadores. 80,000 archivos contenían información de identificación personal (PII) para decenas de millones de personas, y no solo para los usuarios de Pray.com.

Estas incluían fotos cargadas por los usuarios de la aplicación (foto de perfil y avatar para la red social privada de Pray.com «Comunidad»), incluidas las de menores. Además, los archivos incluían archivos CSV de iglesias que usaban la aplicación para comunicarse con sus congregaciones, según la investigación. Estos archivos contenían listas de los asistentes a la iglesia, con información de cada asistente que incluía nombres, direcciones de casa y de correo electrónico, números de teléfono y estado civil.

La aplicación también dice que facilita las donaciones a las iglesias: los usuarios pueden donar directamente a través de la aplicación a cualquier iglesia que sea parte del ecosistema de Pray.com. Las donaciones también se registraron en el cubo, junto con el monto de la donación, la PII del donante y la tarifa de Pray.com por procesar la donación. Sin embargo, faltaban registros de donaciones enviadas a iglesias.

«Las largas listas de donaciones de Pray.com proporcionarían a los ciberdelincuentes información valiosa sobre las finanzas de los usuarios de la aplicación y la oportunidad de contactarlos apareciendo como la aplicación, consultando una donación anterior», dijeron los investigadores.

Lo más importante es que la base de datos en la nube incluía directorios de usuarios completos. Cada vez que una persona se une a la red social Comunidades, la aplicación le pregunta si puede invitar a amigos a unirse. Si un usuario dice que sí, la aplicación carga la «libreta de direcciones» completa del usuario desde su dispositivo, que contiene todos sus contactos e información asociada.

Los investigadores dijeron que muchas de estas libretas de direcciones contenían cientos de contactos individuales, cada uno de los cuales revelaba los datos PII de esa persona, incluidos nombres, números de teléfono, correos electrónicos, direcciones de casa y trabajo, y otros detalles, como nombres de la sociedad y los lazos familiares. Algunas de las entradas incluían información de inicio de sesión para cuentas privadas.

«Las personas cuyos datos Pray.com había almacenado en estos archivos de la libreta de direcciones no eran usuarios de la aplicación», según vpnMentor’s análisis esta semana. “Eran simplemente personas cuyos datos de contacto se guardaron en el dispositivo de un usuario de Pray.com. En total, creemos que Pray.com ha almacenado hasta 10 millones de datos privados de personas sin su permiso directo y sin que sus usuarios se den cuenta de que lo estaban permitiendo «.

Complejidad de la nube

Curiosamente, poco más de 80.000 archivos se han convertido en privados, accesibles solo para personas con los permisos de seguridad adecuados. Sin embargo, estos archivos fueron expuestos a través de un segundo servicio de Amazon, encontrado vpnMentor, lo que demuestra la complejidad que pueden implicar las configuraciones en la nube.

«A través de una investigación más profunda, nos enteramos de que Pray.com había asegurado algunos archivos, configurándolos como privados en sus depósitos para restringir el acceso», explicaron. «Sin embargo, al mismo tiempo, Pray.com ha integrado sus buckets S3 con otro servicio de AWS, AWS CloudFront Content Delivery Network (CDN). Cloudfront permite a los desarrolladores de aplicaciones almacenar contenido en caché en servidores proxy. alojado por AWS en todo el mundo, y más cerca de los usuarios de la aplicación, en lugar de cargar esos archivos desde los servidores de la aplicación. Como resultado, cualquier archivo en los depósitos de S3 se puede ver y acceder indirectamente a través de la CDN, independientemente de configuración de seguridad individual «.

Agregaron: «Los desarrolladores de Pray.com crearon accidentalmente una puerta trasera que les daba acceso completo a todos los archivos que habían intentado proteger».

Chris DeRamus, vicepresidente de tecnología para la práctica de seguridad en la nube en Rapid7, señaló que las empresas deben ser conscientes de que la naturaleza de autoservicio de la nube las expone a un mayor riesgo.

“Los depósitos no seguros y las bases de datos S3 son una ocurrencia común y los atacantes continúan explotando. De hecho, de 196 infracciones causadas por configuraciones incorrectas de la nube en 2018 y 2019, Las configuraciones incorrectas del depósito S3 representaron el 16% de esas infracciones,Dijo por correo electrónico. Las organizaciones deben tomar las medidas de seguridad adecuadas, como la automatización de la seguridad, para garantizar que los datos siempre estén protegidos. Si el riesgo no se considera y aborda inicialmente, las organizaciones pueden enfrentar multas. , honorarios legales y, en definitiva, su rentabilidad «.

La base de datos fue descubierta el 6 de octubre, pero no se hizo privada a pesar de los múltiples intentos de contactar a Pray.com con respecto al problema, según vpnMentor. Después de que los investigadores se pusieron en contacto directamente con Amazon, los archivos de contacto se eliminaron del depósito abierto el 17 de noviembre.

Si bien no se sabe cuánto tiempo han estado expuestos los archivos, algunos datos se remontan a 2016, dijeron los investigadores.

«Al no proteger los datos de sus usuarios, sino también al recopilar agresivamente los datos de sus amigos y familiares, Pray.com ha expuesto a millones de personas a varios peligros. [like phishing, identity theft and account takeover], «Según vpnMentor.» Las implicaciones para los usuarios de la aplicación y el público en general no deben subestimarse «.

.

Puedes compartir en tu Facebook para que tus amigos lo vean

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *