在错误配置的云存储中发现了来自约会网站的数百万条记录

在另一种错误配置的云存储情况下，已经发现与数百万个数据站点用户有关的信息已在线暴露。

上周下半年由WizCase的安全研究人员发现，这些暴露的记录涉及多达11种不同的约会服务，其中五种已被识别：天主教单身，SPYKX，TESTIKI，Blurry约会应用程序和Charincharin / Kyuun-Kyuun。

在公开数据库中找到的数据包括真实姓名，账单地址，电子邮件地址，电话号码，私人消息等。 对于SPYKX，韩国的交友网站和日本的CharinCharin，数据库还包含明文密码。 在确定的站点上公开的数据量，从SPYKX的3700条记录到CharinCharin的1.02亿条记录不等。

研究人员发现的六个数据库包含相似的数据，但无法正确识别。 研究人员指出，这些数据本来可以从其他站点抓取的，但是其中一些数据似乎不是来自面向互联网的页面。 这些数据库中的至少一些数据已链接到约会网站Zhenai，Say Love，网易，Love Chat和Companion上的用户。

在大多数情况下，可以在尚未设置为私有的ElasticSearch数据库上找到数据，尽管在一种情况下，可以在不安全的MongoDB数据库上找到数据，而在另一种情况下，可以在不安全的Amazon Web Services Inc. S3存储桶中找到数据。 无论哪种方式，公开个人身份信息都会使用户面临网络钓鱼，帐户劫持和某些情况下勒索的风险。

该消息是在vpnMentor 6月15日的报告之后发布的，该报告详细描述了类似的数据泄露事件，其中涉及配置错误的云存储，同样暴露的PII属于一系列利基约会网站中的数百万用户。

安全意识培训公司Lucy Security AG的首席执行官Colin Bastable表示：“由于建立时的错误配置，ElasticSearch数据库可能是数据泄漏的主要来源。” “例如，前端UI通常通过身份验证来保护，但是管理员忘记了默认端口9200也是可见的并且可以在线访问，这意味着不受保护的ElasticSearch数据库可能会通过后门泄漏数据。”

他补充说，建立数据库后，开发人员可能忘记了修补数据库的全部知识，而专注于前端的易用性来推动用户参与度和订户增长。 他说：“或者也许不再雇用原始建筑师。” “无论如何，他们丢了球。”

应用程序安全测试公司Checkmarx Ltd.的应用程序安全总监Matt Rose指出，尽管托管用户更敏感的信息（包括私人消息和合作伙伴首选项），但约会约会应用程序由于安全问题而继续成为头条新闻。

他说：“鉴于类似数据泄露事件的列表正在迅速增长，这引出了有关根本原因的问题。” “对于小型开发公司而言，安全性不是仅优先考虑的事情吗？或者，安全测试的额外成本是否会使小型，利基组织的开发工作过于昂贵？ 无论哪种情况，都存在灵活，具有成本效益的解决方案，以帮助执行常规的应用程序安全性测试，保护数据库并防止将来发生类似事件。”

图片：天主教单打