Popüler mesajlaşma uygulaması JusTalk, aylarca şifresiz olarak internete açık olan büyük bir şifrelenmemiş özel mesaj veritabanı bıraktı.
Mesajlaşma uygulamasının yaklaşık 20 milyon uluslararası kullanıcısı varken, Google Play listeleri JusTalk Çocuklarmesajlaşma uygulamasının çocuk dostu bir sürümü olarak faturalandırıldı, 1 milyondan fazla Android indirmesi gerçekleştirdi.
JusTalk, her iki mesajlaşma uygulamasının da uçtan uca şifreli olduğunu ve web sitesinde “yalnızca siz ve iletişim kurduğunuz kişinin bunları görebileceğini, okuyabileceğini veya dinleyebileceğini: JusTalk ekibi bile verilerinize erişmeyeceğini” söylemekle övünüyor.
Ama bu doğru değil. Güvenlik araştırmacısına göre, şirket tarafından uygulamalardaki hataları ve hataları takip etmek için kullanılan bir günlük veritabanı parola olmadan internette bırakıldı. Anurag Senaçıkta kalan veritabanını bulan ve TechCrunch’tan şirkete gecikmeyi bildirmek için yardım istedi.
Çin’de Huawei tarafından barındırılan bir bulut sunucusunda barındırılan veritabanına ve içindeki yüzlerce gigabayt veriye, yalnızca IP adresini bilerek web tarayıcısından erişilebilir. Açıkta kalan cihazlar ve veritabanları için bir arama motoru olan Shodan, sunucunun, veritabanının ilk ortaya çıktığı Ocak ayının başından bu yana sürekli olarak en son ayın günlüklerini depoladığını gösteriyor.
Uygulamanın şirketin iddia ettiği gibi uçtan uca şifrelenmediğini bildirmemizden kısa bir süre sonra veritabanı kapatıldı.
Mesajlaşma uygulamasının arkasındaki Çin merkezli bulut şirketi Juphoon, web sitesinde JusTalk’u 2016’da çıkardığını ve şu anda Ningbo Jus’a ait olduğunu ve onun tarafından işletildiğini söylüyor. Paylaş Juphoon’un web sitesinde listelenen ofisle aynı.
Juphoon’un CEO’su ve JusTalk’un kurucusu Leo Lv, e-postalarımızı açtı, ancak yanıt vermedi veya şirketin kullanıcıları güvenlik gecikmesi hakkında bilgilendirmeyi planlayıp planlamadığını söylemedi.
Sunucunun verileri, günlükler ve bilgisayar tarafından okunabilen diğer verilerle karışmış olduğundan, güvenlik gecikmesi nedeniyle kaç kişinin özel mesajlarının açığa çıktığı tam olarak bilinmiyor.
Sunucu, gönderenin, alıcının ve mesajın kendisinin telefon numaraları da dahil olmak üzere uygulama üzerinden gönderilen milyonlarca mesaj da dahil olmak üzere her gün 10 milyondan fazla bireysel günlük topluyor ve saklıyordu. Veritabanı ayrıca, her kayıtta arayanın ve alıcının telefon numaralarını içeren tüm yapılan aramaları günlüğe kaydetti.
Veritabanına kaydedilen her mesaj aynı sohbetteki tüm telefon numaralarını içerdiğinden, ebeveynleri ile sohbet etmek için JusTalk Kids uygulamasını kullanan çocuklar da dahil olmak üzere tüm konuşmaları takip etmek mümkün oldu. Bir konuşma zinciri, toplantının saati, yeri ve fiyatı da dahil olmak üzere, hizmetleri için telefon numaralarını herkese açık olarak listeleyen bir seks işçisini istemek için uygulamayı kullanan bir papazın kimliğini belirlemeye yetecek kadar kişisel bilgi içeriyordu.
JusTalk’un iddialarına rağmen mesajların hiçbiri şifrelenmedi.
Ayrıca veritabanının, ABD, İngiltere, Hindistan, Suudi Arabistan, Tayland ve Çin anakarasındaki büyük kullanıcı kümeleriyle, kullanıcıların telefonlarından toplanan binlerce kullanıcının ayrıntılı konum verilerini de içerdiğini daha önce bildirmiştik. Veritabanı ayrıca üçüncü bir uygulamadan gelen kayıtları da içeriyordu. JusTalk 2. Telefon Numarası, kullanıcıların özel cep telefonu numaralarını vermek yerine kullanmak için sanal, geçici telefon numaraları oluşturmasına olanak tanır. Bu kayıtlardan bazılarının gözden geçirilmesi, veritabanının hem kişinin cep telefonu numarasını hem de oluşturduğu her kısa ömürlü telefon numarasını kaydettiğini gösteriyor.
Ancak TechCrunch, Sen’in açığa çıkan veritabanını bulma konusunda yalnız olmadığına dair kanıt buldu.
Veritabanına bırakılan tarihsiz bir fidye notu, en az bir kez bir veri gaspçısı tarafından erişildiğini gösteriyor, kötü bir aktör, interneti çalmak için açıkta kalan veritabanlarını tarayan ve birkaç yüz fidye olmadıkça verileri yayınlamakla tehdit eden kötü bir aktör. dolar değerinde kripto para ödenir.
Gaspçının erişiminin bir sonucu olarak herhangi bir JusTalk verisinin kaybolup kaybolmadığı veya çalınıp çalınmadığı bilinmiyor, ancak fidye notuyla ilişkili blok zinciri adresi henüz herhangi bir fon almadığını gösteriyor.