Личные данные 31 миллиона пользователей популярного приложения попали в сеть

Специалисты безопасности Kromtech сообщили о том, что личные данные пользователей виртуальной клавиатуры AI.type хранились в незащищенной паролем базе данных и, таким образом, оказались в открытом доступе.

Сообщается, что клавиатурой AI.type пользуются около 40 миллионов человек по всему миру. Утечка, скорее всего, затронула только тех, кто пользуется Android-версией — это 31 миллион пользователей. В итоге в сеть попали полные имена пользователей, адреса электронной почты, их местоположение, модель смартфона, IMSI и IMEI-номера устройства, разрешение экрана и версия Android.

Большая часть записей также содержала номер телефона, название оператора и, в отдельных случаях, IP-адрес и интернет-провайдера. В некоторых случаях профиль пользователя был также связан с его аккаунтом Google, который обычно содержит фото профиля, дату рождения и пол.

Также AI.type обладает полным доступом к контактным данным, текстовым сообщениям, фотографиям и видео и другим файлам на устройстве, а также записи звука. При этом компания заверяет, что весь текст, введенный с помощью клавиатуры «хранится в зашифрованном виде».

Фрагменты информационной системы базы данных AI.type. Скриншот: Kromtech
Фрагменты информационной системы базы данных AI.type. Скриншот: Kromtech

Однако эксперты нашли таблицу, содержащую более 8,6 миллионов текстовых записей, которые были введены с клавиатуры, включая личную информацию, такую ​​как телефонные номера, адреса веб-страниц, поисковые запросы, а в некоторых случаях и адреса электронной почты и пароли к ним.

Экспертам сайта ZDNet также удалось обнаружить в сети списки контактов телефонной книги некоторых пользователей AI.type. Одна база данных содержала 10,7 млн адресов электронной почты, другая — 376 млн телефонных номеров. В открытую базу попали также списки установленных приложений, в том числе банковских сервисов и приложений для знакомств. Зачем «клавиатуре» собирать все эти данные, остается под вопросом.

Удалось установить, что разработчик AI.type хранил данные пользователей в системе управления базами данных MongoDB, не защитив ее паролем. В результате доступ к конфиденциальной информации мог получить любой желающий. Общий объем базы конфиденциальных данных составляет 577 гигабайт.