Информация пользователей виртуальной клавиатуры угодила в открытый доступ
Неудобная находка была сделана специалистами компании Kromtech Security Center.
Из-за отсутствия парольной защиты доступ к серверу AI.type мог получить кто попало.
Серьезный скандал разразился вокруг компании Ai.Type — разработчика одноименного приложения, представляющего собой виртуальную клавиатуру для мобильных устройств. Из-за незащищенной паролем базы в открытом доступе оказались свыше 600 гигабайт персональных данных.
Kromtech Security Center нашел массовую утечку файлов пользователей известной виртуальной клавиатуры для мобильных устройств Ai.Type, разработанной одноименным израильским стартапом. Как оказалось, компания записывает и сохраняет введенный пользователем текст — одна из таблиц содержала 8,6 млн записей, включавших личную и конфиденциальную информацию, в том числе номера телефонов, поисковые запросы и в ряде случаев адреса электронной почты и пароли. Более того, среди этих данных отыскалась и информация, собирать и хранить которую компания просто не имела права, включая списки контактов некоторых пользователей. В этом случае данные пользователей также содержали IMSI и IMEI, марку и модель устройства, его разрешение экрана и определенную версию андроид.
При всем этом уполномоченные Ai.type сказали корреспондентам издания The Register, что уязвимую БД уже защитили, однако в ней содержалась только половина данных, собранных компанией о собственных пользователях.
Часто в утекших записях присутствовали IP-адреса, имена интернет-провайдеров и перечни приложений, установленных на устройстве. Кроме того, профессионалам удалось найти несколько таблиц со списками контактов телефонных книжек, загруженных со телефонов. Одна из записей содержала 10,7 млн адресов электронной почты, другая — 376 млн телефонных номеров. Непонятно, зачем приложение загружало на сервер контакты пользователей.
Невзирая на объявление AI.type о том, что «конфиденциальность пользователя является нашим основным приоритетом, любой текст, веденный при помощи клавиатуры, шифруется», на самом деле скомпрометированная база данных оказалась незашифрованной.
В нашем Telegram‑канале вы найдёте новости о непознанном, НЛО, мистике, научных открытиях, неизвестных исторических фактах. Подписывайтесь, чтобы ничего не пропустить.
