Παραβιάσεις Δεδομένων

Διαρροή Kibana του FTF Live Εκθέτει 22 Εκατομμύρια Συνεδρίες Βιντεοσυνομιλίας

19 Μαΐου 20265 λεπτά ανάγνωση

By Τζέιμς Οκαφόρ — Πιστοποιημένος κατά CIPP/E, ειδικός σε ψηφιακά δικαιώματα και δίκαιο της ιδιωτικής ζωής

Διαρροή Kibana του FTF Live Εκθέτει 22 Εκατομμύρια Συνεδρίες Βιντεοσυνομιλίας

Ένα εσφαλμένα ρυθμισμένο dashboard αναλυτικών στοιχείων συνδεδεμένο με το FTF Live, μια τυχαία πλατφόρμα βιντεοσυνομιλίας που διαφημίζεται ως ανώνυμος τρόπος γνωριμίας με αγνώστους διαδικτυακά, άφησε περισσότερες από 22 εκατομμύρια εγγραφές συνεδριών ελεύθερα προσβάσιμες σε οποιονδήποτε ήξερε πού να κοιτάξει. Ερευνητές ανακάλυψαν το εκτεθειμένο dashboard Kibana, το οποίο περιείχε όχι μόνο ακατέργαστα δεδομένα συνεδριών αλλά και περίπου 3,47 εκατομμύρια εγγραφές συνδεδεμένες με ονόματα χρηστών ή αναγνωριστικά σχετικά με email. Για μια πλατφόρμα που βασίζεται στην υπόσχεση ανωνυμίας, αυτή η έκθεση δεδομένων ανώνυμης βιντεοσυνομιλίας αποτελεί σημαντική αντίφαση.

Τι Εξέθεσε το FTF Live και Πώς Συνέβη η Εσφαλμένη Ρύθμιση

Το Kibana είναι ένα εργαλείο οπτικοποίησης δεδομένων και αναλυτικών στοιχείων που χρησιμοποιείται συνήθως παράλληλα με βάσεις δεδομένων Elasticsearch. Όταν είναι σωστά ασφαλισμένο, βρίσκεται πίσω από ελέγχους ταυτοποίησης και δεν είναι ποτέ προσβάσιμο από το δημόσιο διαδίκτυο. Στην περίπτωση του FTF Live, οι ερευνητές βρήκαν το dashboard εντελώς ανοιχτό, χωρίς να απαιτείται σύνδεση.

Οι εκτεθειμένες εγγραφές κάλυπταν περισσότερες από 22 εκατομμύρια συνεδρίες συνομιλίας. Ενώ πολλές εγγραφές περιείχαν μόνο τεχνικά μεταδεδομένα, περίπου 3,47 εκατομμύρια από αυτές περιελάμβαναν πληροφορίες ταυτοποίησης: ονόματα χρηστών και πεδία σχετικά με email που θα μπορούσαν να χρησιμοποιηθούν για την ανίχνευση πραγματικών ατόμων. Η ίδια η εσφαλμένη ρύθμιση είναι απλή στην πρόληψη, αλλά εκπληκτικά συνηθισμένη. Οι προγραμματιστές μερικές φορές αφήνουν τα dashboards ανασφάλιστα κατά τη δοκιμή και ξεχνούν να τα κλειδώσουν πριν από την ενεργοποίηση, ή ρυθμίζουν εσφαλμένα τους ελέγχους πρόσβασης σε αναπτύξεις cloud χωρίς να συνειδητοποιούν ότι το dashboard είναι δημοσίως προσβάσιμο.

Αυτό το είδος σφάλματος δεν είναι μοναδικό για το FTF Live. Μια παρόμοια εσφαλμένη ρύθμιση στο Reqrea, μια ιαπωνική εταιρεία τεχνολογίας φιλοξενίας, άφησε περισσότερα από ένα εκατομμύριο έγγραφα ταυτότητας, συμπεριλαμβανομένων σαρώσεων διαβατηρίων, εκτεθειμένα σε ένα κάδο αποθήκευσης cloud, πιθανώς για χρόνια. Το κοινό νήμα είναι η απρόσεκτα ανοιχτή υποδομή, με πραγματικά δεδομένα χρηστών να βρίσκονται στο εσωτερικό της.

Γιατί οι Πλατφόρμες «Ανώνυμης» Συνομιλίας Δεν Είναι Εγγενώς Ιδιωτικές

Η λέξη «ανώνυμος» στο μάρκετινγκ μιας πλατφόρμας αναφέρεται συχνά στην κοινωνική εμπειρία — δεν χρειάζεται να γνωρίζετε το όνομα του άλλου ατόμου, και εκείνο δεν χρειάζεται να γνωρίζει το δικό σας. Δεν περιγράφει απαραίτητα τον τρόπο με τον οποίο η πλατφόρμα χειρίζεται τα δεδομένα σας στο παρασκήνιο.

Για να λειτουργήσει, σχεδόν κάθε πλατφόρμα βιντεοσυνομιλίας πρέπει να συλλέγει ορισμένα τεχνικά δεδομένα: διευθύνσεις IP για τη δρομολόγηση συνδέσεων, αναγνωριστικά συνεδρίας για την αντιστοίχιση χρηστών και αναλυτικές εγγραφές για την κατανόηση της χρήσης του προϊόντος. Το FTF Live σαφώς συνέλεγε πολύ περισσότερα από καθαρά μεταδεδομένα σύνδεσης. Η παρουσία αναγνωριστικών σχετικών με email σε 3,47 εκατομμύρια εγγραφές υποδηλώνει ότι ένα σημαντικό μέρος των χρηστών είτε δημιούργησε λογαριασμούς είτε αλληλεπίδρασε με την πλατφόρμα με τρόπους που δημιούργησαν μόνιμες, αναγνωρίσιμες εγγραφές.

Αυτό το χάσμα μεταξύ της υπόσχεσης «ανωνυμίας» και της υποκείμενης πραγματικότητας συλλογής δεδομένων είναι ένα από τα πιο σημαντικά πράγματα που μπορούν να αντλήσουν οι χρήστες από αυτό το περιστατικό. Η ανωνυμία στο μπροστινό μέρος δεν εγγυάται απόρρητο στο παρασκήνιο.

Ποιοι Κινδυνεύουν και Τι Αποκαλύπτουν τα Διαρρεύσαντα Αναγνωριστικά

Οι περίπου 3,47 εκατομμύρια εγγραφές που περιέχουν ονόματα χρηστών ή αναγνωριστικά συνδεδεμένα με email αντιπροσωπεύουν το πιο σοβαρό τμήμα αυτής της έκθεσης. Ενώ ένα αρχείο καταγραφής συνεδρίας χωρίς αναγνωριστικά είναι κυρίως τεχνικός θόρυβος, εγγραφές συνδεδεμένες με διεύθυνση email ή όνομα χρήστη μπορούν να παραβληθούν με άλλες πηγές δεδομένων. Επιτιθέμενοι που απέκτησαν αυτά τα δεδομένα θα μπορούσαν να προσπαθήσουν να τα συσχετίσουν με διαπιστευτήρια από άλλες παραβιάσεις, να τα χρησιμοποιήσουν για εκστρατείες phishing ή απλώς να δημιουργήσουν προφίλ ατόμων που χρησιμοποιούν μια πλατφόρμα που προτιμούν να κρατούν ιδιωτική.

Για ορισμένους χρήστες, τα φημολογικά ή προσωπικά διακυβεύματα του να αναγνωριστούν ως χρήστες μιας τυχαίας πλατφόρμας βιντεοσυνομιλίας θα μπορούσαν να είναι σημαντικά. Αυτές οι πλατφόρμες προσελκύουν ένα ευρύ κοινό, και οποιαδήποτε έκθεση μοτίβων χρήσης θα μπορούσε να είναι άβολη ή επιβλαβής ανάλογα με τις περιστάσεις ενός ατόμου.

Η κλίμακα επίσης έχει σημασία. Είκοσι δύο εκατομμύρια συνεδρίες δεν είναι ένα μικρό σύνολο δεδομένων δοκιμής. Αντιπροσωπεύει πραγματική, συνεχή δραστηριότητα πλατφόρμας, πράγμα που σημαίνει ότι αυτή η έκθεση δεν ήταν ένα εφάπαξ στιγμιότυπο αλλά ένα παράθυρο σε πιθανώς μήνες συμπεριφοράς χρηστών. Παραβιάσεις δεδομένων που επηρεάζουν μεγάλους πληθυσμούς, όπως η παραβίαση ADT που εξέθεσε 10 εκατομμύρια εγγραφές, δείχνουν πόσο γρήγορα τα εκτεθειμένα δεδομένα σε κλίμακα γίνονται εργαλείο για απάτη και στοχευμένες επιθέσεις.

Πώς να Προστατευθείτε Κατά τη Χρήση Τυχαίων Υπηρεσιών Βιντεοσυνομιλίας

Το περιστατικό του FTF Live αποτελεί χρήσιμη υπενθύμιση ότι οι χρήστες έχουν περιορισμένη ορατότητα στον τρόπο με τον οποίο οποιαδήποτε πλατφόρμα χειρίζεται τα δεδομένα τους. Υπάρχουν, ωστόσο, πρακτικά βήματα που μπορούν να μειώσουν την έκθεσή σας.

Χρησιμοποιήστε VPN πριν συνδεθείτε. Ένα VPN αποκρύπτει την πραγματική σας διεύθυνση IP, η οποία είναι ένα από τα πιο συνεπώς καταγεγραμμένα δεδομένα σε οποιαδήποτε πλατφόρμα συνομιλίας. Ακόμα και αν μια πλατφόρμα διαρρεύσει τις εγγραφές συνεδριών της, η IP σας θα παραπέμπει στον διακομιστή VPN και όχι στο οικιακό σας δίκτυο ή την τοποθεσία σας.

Αποφύγετε την εγγραφή λογαριασμών σε πλατφόρμες ανώνυμης συνομιλίας. Εάν δημιουργήσετε λογαριασμό με την πραγματική σας διεύθυνση email, εισάγετε ένα αναγνωριστικό που μπορεί να επιβιώσει ακόμα και σε μια κατά τα άλλα απόρρητη συνεδρία. Η περιήγηση ως επισκέπτης ή η χρήση μιας προσωρινής διεύθυνσης email περιορίζει τα διαθέσιμα δεδομένα σε περίπτωση έκθεσης.

Ερευνήστε τις πλατφόρμες πριν τις χρησιμοποιήσετε. Αναζητήστε πολιτικές απορρήτου που περιγράφουν σαφώς ποια δεδομένα συλλέγονται και για πόσο διάστημα. Οι πλατφόρμες με ασαφή ή απούσα τεκμηρίωση απορρήτου ενέχουν υψηλότερο κίνδυνο.

Υποθέστε ότι η συνεδρία σας καταγράφεται. Ακόμα και σε πλατφόρμες που ισχυρίζονται ανωνυμία, αντιμετωπίστε κάθε συνεδρία ως δυνητικά ηχογραφημένη ή αποθηκευμένη. Μην μοιράζεστε πληροφορίες που δεν θα θέλατε να συνδεθούν με εσάς.

Η υπόθεση FTF Live αντικατοπτρίζει ένα ευρύτερο μοτίβο: οι πλατφόρμες που δημιουργούνται για περιστασιακή, χαμηλού ρίσκου κοινωνική αλληλεπίδραση συχνά λαμβάνουν λιγότερο αυστηρή προσοχή στην ασφάλεια από τις οικονομικές ή υγειονομικές εφαρμογές, ακόμα και όταν χειρίζονται δεδομένα που οι χρήστες εύλογα αναμένουν να παραμείνουν ιδιωτικά. Η εσφαλμένα ρυθμισμένη υποδομή είναι μια από τις πιο αποτρέψιμες κατηγορίες έκθεσης δεδομένων, γεγονός που κάνει περιστατικά όπως αυτό ιδιαίτερα απογοητευτικά.

Εάν χρησιμοποιείτε τακτικά υπηρεσίες τυχαίας βιντεοσυνομιλίας, τώρα είναι καλή στιγμή να επανεξετάσετε σε ποιες πλατφόρμες εμπιστεύεστε, ποιους λογαριασμούς έχετε δημιουργήσει και αν ένα VPN αποτελεί μέρος της ρουτίνας σας κατά τη σύνδεση σε μη επαληθευμένες υπηρεσίες. Η ανωνυμία που διαφημίζουν αυτές οι πλατφόρμες είναι τόσο αξιόπιστη όσο οι πρακτικές ασφαλείας που βρίσκονται πίσω από τις κουλίσες.

// FAQ

Πόσες εγγραφές συνεδριών βιντεοσυνομιλίας εκτέθηκαν στη διαρροή δεδομένων του FTF Live;

Περισσότερες από 22 εκατομμύρια εγγραφές συνεδριών ήταν ελεύθερα προσβάσιμες μέσω του εσφαλμένα ρυθμισμένου dashboard Kibana. Περίπου 3,47 εκατομμύρια από αυτές τις εγγραφές περιείχαν πληροφορίες ταυτοποίησης, όπως ονόματα χρηστών και πεδία σχετικά με email.

Τι είναι το Kibana και γιατί ήταν επικίνδυνο να αφεθεί ανασφάλιστο;

Το Kibana είναι ένα εργαλείο οπτικοποίησης δεδομένων και αναλυτικών στοιχείων που χρησιμοποιείται συνήθως παράλληλα με βάσεις δεδομένων Elasticsearch. Όταν αφήνεται ανασφάλιστο, όπως στην περίπτωση του FTF Live, γίνεται δημοσίως προσβάσιμο χωρίς να απαιτείται σύνδεση, εκθέτοντας όλα τα δεδομένα που περιέχει σε οποιονδήποτε ήξερε πού να κοιτάξει.

Πώς πιθανώς συνέβη η εσφαλμένη ρύθμιση;

Οι προγραμματιστές μερικές φορές αφήνουν τα dashboards ανασφάλιστα κατά τη δοκιμή και ξεχνούν να τα κλειδώσουν πριν από την ενεργοποίηση, ή ρυθμίζουν εσφαλμένα τους ελέγχους πρόσβασης σε αναπτύξεις cloud χωρίς να συνειδητοποιούν ότι το dashboard είναι δημοσίως προσβάσιμο.

Σημαίνει η «ανώνυμη» επωνυμία του FTF Live ότι δεν συλλέγονταν δεδομένα χρηστών;

Όχι, ο όρος «ανώνυμος» στην πλατφόρμα αναφερόταν στην κοινωνική εμπειρία του να μη γνωρίζεις τον άλλο, όχι στον τρόπο χειρισμού των δεδομένων στο παρασκήνιο. Το FTF Live σαφώς συνέλεγε τεχνικά μεταδεδομένα και αναγνωριστικά σχετικά με email για ένα σημαντικό μέρος των χρηστών του.

Είναι το FTF Live η μόνη πλατφόρμα που έχει βιώσει αυτό το είδος εσφαλμένης ρύθμισης;

Όχι, παρόμοιες εσφαλμένες ρυθμίσεις έχουν συμβεί και αλλού, όπως στο Reqrea, μια ιαπωνική εταιρεία τεχνολογίας φιλοξενίας, η οποία άφησε περισσότερα από ένα εκατομμύριο έγγραφα ταυτότητας, συμπεριλαμβανομένων σαρώσεων διαβατηρίων, εκτεθειμένα σε ένα κάδο αποθήκευσης cloud.

Διαρροή Kibana του FTF Live Εκθέτει 22 Εκατομμύρια Συνεδρίες Βιντεοσυνομιλίας

Τι Εξέθεσε το FTF Live και Πώς Συνέβη η Εσφαλμένη Ρύθμιση

Γιατί οι Πλατφόρμες «Ανώνυμης» Συνομιλίας Δεν Είναι Εγγενώς Ιδιωτικές

Ποιοι Κινδυνεύουν και Τι Αποκαλύπτουν τα Διαρρεύσαντα Αναγνωριστικά

Πώς να Προστατευθείτε Κατά τη Χρήση Τυχαίων Υπηρεσιών Βιντεοσυνομιλίας

// FAQ

// Σχετικά