Daten von 31 Millionen Nutzern der App ai.type Keyboard geleakt
In dem riesigen Datenleak stehen unter anderen E-Mail-Adressen, Namen und IMEI- und Telefon-Nummern von Nutzern der App. Auch Kontakte aus Telefonbüchern sollen sich darin finden.
(Bild: Facepalm, Brandon Grasley, CC BY 2.0)
Der Entwickler der Keyboard-App ai.type hat eine 577 GByte umfassende MongoDB-Datenbank nicht abgesichert, sodass jeder darauf zugreifen konnte. Darin stehen unter anderem persönliche Daten von 31.293.959 Nutzern, welche sich die für Android- und iOS-Geräte verfügbare App ai.type Keyboard installiert haben. Darauf sind Sicherheitsforscher von MacKeeper gestoßen.
Die App ist weit verbreitet – Google Play weist rund 40 Millionen Downloads auf. Mittlerweile soll die Datenbank abgesichert sein. Unklar ist, wer vor der Absicherung darauf zugegriffen hat. Eine offene, von persönlichen Infos überlaufende Datenbank ist ein gefundenes Fressen für Kriminelle.
(Bild: Screenshot)
Zugriff auf Alles!
Installiert man die App etwa auf einem iPhone, fordert sie vollen Zugriff auf das Gerät ein. Mit den Rechten ausgestattet kann sie zum Beispiel alle Keyboard-Eingaben mitschneiden – auch aus der Vergangenheit. Zudem kann die App in dieser Position so ziemlich alles auslesen, was auf einem Gerät liegt, warnen die Sicherheitsforscher. Wer die App nutzt, sollte sie aufgrund der heftigen Datensammelei schleunigst deinstallieren.
In der Datenbank finden sich MacKeeper zufolge umfangreiche persönliche Daten wie Namen, Informationen aus Social-Media-Profilen, Kontaktdaten aus Adressbüchern, IMSI-, IMEI- und Telefonnummern, Standorte, E-Mail-Adressen und noch viele weitere Infos. Die Sicherheitsforscher geben zudem an, dass in dem Leak 373 Millionen Einträge liegen, die Einträge aus mit Google-Accounts synchronisierten Adressbüchern enthalten.
Leere Versprechen?
Ein Statement der Entwickler steht derzeit noch aus. Auf der Webseite finden sich nur Werbesprüche, dass die Privatsphäre von Nutzern an erster Stelle steht. Zudem soll über die Tastatur eingegebener Text verschlüsselt sein – was bei der Datenbank offensichtlich nicht der Fall war.
Die Aussage "Wir werden niemals persönliche Informatonen nutzen" aus dem Tutorial zur App kommt einer Verhöhnung gleich.
Altbekanntes Problem
Offene MongoDB-Datenbanken sorgen immer wieder für Schlagzeilen. 2016 sind so etwa Infos von 93 Millionen mexikanischen Wählern und 58 Millionen Einträgen aus der Automobilbranche und Personalvermittlung geleakt.
Wer es drauf anlegt, kann offene MongoDB-Datenbanken mit vergleichsweise wenig Aufwand über die Suchmaschine Shodan finden. Das Problem ist, dass viele Admins noch alte, zum Teil verwundbare Versionen der Datenbank verwenden. Diese sind in der Standardkonfiguration für jedermann über das Internet erreichbar. Admins sollten also sicherstellen, dass sie die aktuelle Version der MongoDB-Datenbank installiert haben.
Zusätzlich sollten sie auch die Sicherheitstipps der Entwickler befolgen, denn oft kommen unsichere Konfigurationen zum Einsatz, bei denen etwa der Port 27017 Verbindungen aus dem Internet zulässt. (des)
