Heyyo 데이트 앱으로 사용자의 개인 데이터, 사진, 위치 정보 유출

Heyyo 데이트 앱으로 사용자의 개인 데이터, 사진, 위치 정보 유출

온라인 데이트 앱인 헤이요는 수천 개의 회사들이 이전에 저질렀던 것과 같은 실수를 저질렀다. 즉, 그것은 비밀번호가 없는 서버를 인터넷에 노출시켰다.

Elastic Search 인스턴스인 이 유출된 서버는 이 앱의 전체 사용자 기반이라고 여겨지는 거의 72,000명의 사용자에 대한 개인 정보, 이미지, 위치 데이터, 전화 번호 및 데이트 선호도를 노출시켰다.

유출된 서버는 지난 주 WizCase의 보안 연구원들에 의해 ZDNet의 주목을 받게 되었는데, 그는 우리에게 이 보안 사건을 조사하는 것을 도와달라고 요청했다. 데이터베이스에 전화번호가 포함된 사용자 중 일부에게 연락하여 데이터의 진위를 확인한 후, 회사 측에 유출 사실을 알려주기 위해 헤이요에게 연락했다.

앱 뒤에 있는 이스탄불에 본사를 둔 소프트웨어 회사는 일주일 가까이 우리의 문의에 응하지 않았고, 유출된 서버는 어제 ZDNet이 터키의 컴퓨터응급대응팀(CERT)에 연락을 취한 후 오늘에야 철거되었다.

누락된 정보
우리가 서버를 확보하는 데 걸리는 시간 동안, 헤이요의 백엔드는 가장 민감한 정보의 일부를 온라인에 유출시켰다. 아무리 말해도 유출된 정보의 폭은 놀랍다. 사적인 메시지를 제외하고, 회사의 Elastic Search 서버에서 다른 모든 Hayyo 사용자 데이터를 이용할 수 있었다. 여기에는 다음과 같은 것들이 포함되었다.

이름
전화번호
이메일 주소
생년월일

높이
사진 및 기타 이미지 프로파일
프로필을 연결한 사용자의 Facebook ID
프로필을 연결한 사용자의 인스타그램 ID
경도 및 위도
사용자의 프로필을 좋아하는 사람
링크된 프로필
해제된 프로필
Superliked 프로파일
차단된 프로파일
데이트 기본 설정
등록 및 마지막 활성 날짜
스마트폰 세부 정보

heyyo-sample-data.pngImage: ZDNet

제품 서비스(기존 백업이 아님)
데이터베이스를 살펴보는 동안 서버가 테스트나 백업 저장에 사용되는 오래된 서버가 아닌 라이브 프로덕션 시스템이라는 것도 분명해졌다.

등록된 사용자 수는 우리가 자료를 볼 때 71,769명에서 71,921명으로 증가했다. 시험계좌도 등록했는데, 몇 초 만에 서버에 나타나는 것을 봤다.

암호 없이 데이터베이스에서 액세스할 수 있는 이 정보의 온라인 존재는 모든 앱 사용자들에게 위험하다.

누출을 얼마나 방해할 수 있는지를 보여주기 위해 간단한 테스트를 실시했다. 무작위 사용자 3명의 세부사항을 취했고, 잠시 후 GitHub에서 다운로드한 구글 검색 쿼리와 간단한 OSINT(오픈 소스 인텔리전스) 스크립트를 이용하여 3명의 사용자를 쉽게 추적하여 그들의 실제 ID, LinkedIn 프로필, 소셜 미디어 계정, 틈새 인터넷 포럼에 올린 게시물까지 연결했다.

우리가 데이트 웹사이트에 대해 이야기 하고 있기 때문에, 이런 종류의 정보는 그들의 데이트 생활과 거주지에 대한 정보를 가지고 사용자들을 스토킹하거나 갈취하는 데 사용될 수 있다. 이것은 가상 시나리오가 아니다. 이러한 유형의 강탈 캠페인은 과거에 일어났는데, 특히 애슐리 매디슨 사건 이후 더욱 그러했다.

현재 위즈케이스 승무원 외에 헤이요의 유출 서버를 악성 제3파티도 포착했는지는 불분명하기 때문에 다른 사람이 이 정보를 모두 다운받았을지도 모른다. 오직 헤이요의 직원들로부터의 조사만이 이 자료가 잘못된 손에 들어갔는지, 그리고 사용자들이 위험에 처해 있는지 확인할 수 있었다.

헤이요는 이제 서버 확보에 실패한 온라인 데이트 서비스 목록에 합류한다.

admin

Leave a Reply

Your email address will not be published. Required fields are marked *