Данные 31 млн пользователей популярной виртуальной клавиатуры утекли в Сеть
Kromtech Security Center обнаружил массовую утечку файлов пользователей популярной виртуальной клавиатуры для мобильных устройств Ai.Type, разработанной одноименным израильским стартапом. По данным экспертов, в свободном доступе оказались данные 31,3 миллиона пользователей Android-версии.
По собственным данным Ai.Type, приложением для Android пользовались более 40 миллионов человек по всему миру.
Пользовательские данные (более 577 Гб конфиденциальной информации) хранились на сервере, принадлежащем сооснователю компании. Как выяснилось, доступ к этому серверу не был защищен паролем, а данные не потрудились зашифровать.
«Засвеченные» файлы содержали огромное количество информации, о сборе которой не подозревали пользователи приложения:
1. ПД зарегистрированных пользователей: номер телефона, полное имя владельца, название и модель устройства, название оператора, разрешение экрана, язык, на котором работал пользователь, версия операционной системы, номер IMSI (международный номер карты идентификации абонента), IMEI-номер (международный идентификационный номер устройства), электронные адреса, связанные с устройством, страна проживания, ссылки на соцсети и данные из профилей в этих соцсетях (день рождения, адреса и пр.), фотографии, IP-адрес (при наличии), геоданные (широта/долгота), список приложений на устройстве.
2. Список контактов: 6,4 миллиона файлов содержали данные из контакт-листов пользователей — имена и номера телефонов (всего более 373 миллионов записей), «слитые» из смартфонов зарегистрированных пользователей, включая все контакты сохраненные, синхронизированные или связанные с аккаунтом Google.
Также на сервере хранилась различная статистика: наиболее популярные запросы в Google для различных регионов, среднее количество сообщений в день, возраст пользователей и т.д.
ZDNet добавляет, что обнаружил свидетельства того, что вводимый пользователями текст также записывался и сохранялся компанией – но неизвестно, в каких объемах: «мы нашли папку, содержащую более 8,6 миллиона текстовых записей, содержащих конфиденциальную информацию – в том числе номера телефонов, адреса и пароли», — пишет издание, добавляя, что Ai.Type обещал «никогда не передавать вашу информацию третьим сторонам и не заглядывать в пароли».