Svært sensitive data om minst 31 millioner brukere av den virtuelle tastaturappen Ai.type lå blottlagt på det åpne internettet.
AI.type finnes både som gratis app og betalte utgaver til mobiltelefoner og nettbrett for Android og iOS-enheter. Den israelske utgiveren oppgir å ha mer enn 40 millioner kunder.
Det er Android-utgaven som later til å være berørt av hendelsen.
577 gigabyte
Lekkasjen omfatter blant annet persondata og kontoopplysninger, adressebøker med navn og telefonnumre, IMSI- og IMEI-nummer, stedslokasjon, mobilnettet kunden bruker, koblinger til kundens profiler på sosiale medier – og ikke minst – alle registrerte tastetrykk.
Det er en sjokkerende mengde data, hevder Kromtech Security Center som står bak funnet.
Ifølge sikkerhetsforskerne stammer alt sammen fra én enkelt database, som består av hele 577 gigabyte med data. Feilkonfigurasjon av en MongoDB-installasjon oppgis å være årsaken.
Hendelsen føyer seg inn i rekken av mange lignende episoder. Opptil 40.000 installasjoner med feilkonfigurerte MongoDB-databaser er tidligere avdekket, etter funn gjort med søketjenesten Shodan.
Interessant nok har Kromtech, som også er selskapet bak den omstridte applikasjonen MacKeeper, selv tidligere vært rammet av det samme.
Zdnet skriver at de etter flere forsøk endelig lyktes å få datalekkasjen bekreftet av Ai.type. Den berørte serveren skal ha blitt sikret forrige helg, men selskapet har ikke ønsket å kommentere hendelsen.
Samme nettsted har også gått gjennom deler av databasen. I disse undersøkelsene fant de over 10 millioner epostadresser i en tabell, mens en annen innholdt svimlende 375 millioner telefonnumre. Det fremstår som uvisst hvorfor en tastaturapp henter ut kontaktlistene fra brukernes mobiltelefoner.
Andre tabeller skal ha inneholdt komplette lister over samtlige apper som er installert på brukernes mobiltelefoner, inkludert bankapplikasjoner eller dating-apper.
Den eksponerte databasen var heller ikke kryptert.
