Foto’s van de gebruikers van de gay dating app Jack’d zijn online verschenen. Dat komt doordat de ontwikkelaars hun Amazon Web Services instance verkeerd ingesteld hadden. Daardoor kwamen privébeelden op het internet te staan, waaronder gevoelige beelden.
Jack’d is een gay dating app die homoseksuele mannen van over heel de wereld aan elkaar verbindt. Gewoonlijk gaat het om mannen die elkaar simpelweg willen ontmoeten, of mannen die op zoek zijn naar seks. De app is meer dan 1 miljoen keer gedownload in de Google Play Store en stelt gebruikers ertoe in staat te chatten, maar ook foto’s te delen.
Alles op het internet
Veiligheidsonderzoeker Oliver Hough meldt tegenover The Register dat een blootgestelde AWS S3 instance alle foto’s van Jack’s gebruikers wereldwijd blootstelde. De beveiliging was in zijn geheel niet op orde. Volgens de onderzoeker kon iedereen met een browser toegang krijgen tot de foto’s, als de betreffende persoon maar zou weten waar gezocht moest worden.
“Er wordt geen authenticatie gevraagd, het is niet nodig om in te loggen in de app en er zijn geen beperkingen ingesteld. Daardoor kan iedereen de volledige database met foto’s downloaden om mensen te chanteren of voor verdere chaos te zorgen”, aldus The Register.
Maar alsof de onbeveiligde instance niet genoeg is, blijkt dat het bedrijf al maanden van het probleem weet. Hough stelt dat hij het bedrijf achter de app, LD Interactive LLC, drie maanden gelden al liet weten dat de data bloot was komen te liggen. Maar het bedrijf heeft in al die tijd niets gedaan om de situatie op te lossen.
Door de toegenomen aandacht voor het datalek, is de verkeerd ingestelde AWS instance ondertussen gerepareerd. Het feit dat het bedrijf echter van de problemen wist, maar daar lange tijd niets aan gedaan heeft, is zorgwekkend. Het is een van de vele voorbeelden van problemen met AWS-instellingen van bedrijven. Eerder maakten Verizon, Veeam, Accenrue en FedEx soortgelijke fouten.
4 uur geleden
