“ PhotoSquared”泄漏了100,000个iOS和Android用户

资料来源：PhotoSquared

• “ PhotoSquared”应用程序显示了帐单和订单详细信息，以及将其发送进行打印的用户图像。
• 在线数据库中存储的数据至少两周未受到保护。
• 诈骗者现在可能会冒充USPS，勒索用户，向他们发送恶意软件或滥用其信用卡信息。

“ PhotoSquared”（一款旨在帮助人们创建在智能手机上拍摄的照片的可打印版本）的应用已公开了100,000个用户的个人数据。这些人的敏感信息存储在一个不受保护的亚马逊存储桶中，研究人员Noam Rotem和Ran Locar在搜索数据库索引器后发现了这些存储桶。发现的日期是2020年1月30日，而车主被确认并仅在四天后与他们联系。不幸的是，“ PhotoSquared”又花了十天的时间才终于确定泄漏的数据库。

不受保护的S3存储桶包含2016年11月至2020年1月的94.7 GB数据，因此这可能是实时服务系统，而不是备份。每个条目包括以下内容：

• 全名
• 实际地址
• 订单详细信息
• 用户照片已发送以进行编辑和打印
• USPS运输标签

这些人已将照片发送给PhotoSquared，后者负责安全地存储照片，根据需要对其进行编辑，创建8英寸x 8英寸的照片板，然后将其发送回用户的家庭住址。这项服务的一组四个照片拼贴的价格为48美元，但是看起来这一次，它使用户花费了更多。他们现在容易受到身份盗窃，信用卡欺诈，恶意软件攻击，勒索或诈骗的攻击。尽管曝光的图像主要是宠物，儿童或家庭照片，但它们仍对恶意行为者具有很多价值。

由于“ PhotoSquared”总部位于加利福尼亚州，因此对他们适用CCCA（消费者隐私法）法律，因此，这种不遵守规定的情况可能会导致罚款。但是除此之外，它肯定会损害他们的客户信任度。有许多提供类似服务的竞争对手已准备好吸引成千上万失望的PhotoSquared用户。

该应用尚未将有关违规的情况告知曝光的个人，这在当时是完全不道德的。这些人有被演员冒充的危险，这些演员可能冒充USPS并向他们索要钱，因此他们应该尽早知道发生了什么。

如果您自2016年11月以来一直使用“ PhotoSquared”，请通过以下方式与开发人员联系：[email protected]”，并要求提供有关已公开数据的哪一部分的所有详细信息。最后，您还应该联系您的本地数据保护官，并将事件通知组织，以便他们可以立即采取适当的调查步骤。