Личная информация, принадлежащая 31 млн пользователей популярной виртуальной клавиатуры для смартфонов Ai.type, стала достоянием общественности. Разработчик приложения не смог должным образом защитить базу данных, в связи с чем произошла крупная утечка. Ai.type — умная клавиатура для Android и iOS c более чем 40 млн пользователей, способная изучить стиль написания и даже автоматически вставлять смайлики Emoji.
По словам редактора издания ZDNet Зака Уиттакера (Zack Whittaker), сервер базы данных Ai.type остался в свободном онлайн-доступе без какой-либо проверки подлинности и защиты со стороны компании. Это означает, что любой человек мог скопировать конфиденциальные данные, общий объем которых насчитывает 577 ГБ, и при всем при этом — пароль для их получения не требовался. База включает в себя основные биографические данные (имена и адреса электронной почты), информацию об устройствах (модель, номера IMSI и IMEI, разрешение экрана), а также личную информацию (контакты, точное местоположение пользователя, номер телефона, поставщик сотовой связи, IP-адрес пользователя и интернет-провайдера, если клавиатура использовалась при подключении к точке доступа Wi-Fi).
«Ваша конфиденциальность заботит нас в первую очередь. Мы не передадим никому ваши данные и не попытаемся получить информацию из полей пароля. Текст останется зашифрованным и конфиденциальным.
Ваша конфиденциальность — наша главная забота. Вся информация локально хранится на iPhone» — из описания приложения Ai.type в Google Play и App Store.
По непонятным причинам в сеть вместе с личной информацией попали и списки приложений, установленные на устройствах пользователей Ai.type. Таким образом, злоумышленники могли получить логины и пароли от социальных сетей и аккаунтов в банковских приложениях. Это очень вероятно, поскольку ZDNet утверждает, что пароли тоже являются частью утекшей базы данных. Заявление разработчиков Ai.type о том, что их в первую очередь заботит конфиденциальность и приложение не сохраняет пароли пользователей, можно считать классическим обманом.
Открытая база данных пользователей клавиатуры Ai.type была обнаружена исследователями из Центра безопасности Kromtech. Руководитель отдела по связям с общественностью Kromtech Боб Дьяченко (Bob Diachenko) отметил, что утечка Ai.type — одна из крупнейших за последнее время. «Никто не ожидает, что его или ее телефонная книга или данные, связанные с местоположением, будут представлены на всеобщее обозрение в интернете» — сказал он.
Утечка стала результатом неправильно сконфигурированного и оставленного незащищенным сервера MongoDB. В настоящее время разработчики Ai.type установили пароль для входа в базу данных — это произошло спустя два дня после того, как компании пришло уведомление от Kromtech. Обновление MongoDB 3.6 окончательно закроет эту уязвимость и сделает невозможным случайное подключение базы данных к интернету без проверки подлинности.
