To co trzymasz w ToCoMoje jest niestety dostępne dla wszystkich

Aplikacja mobilna ToCoMoje służy do przechowywania paragonów, ale ludzie trzymają w niej także odczyty liczników, faktury i kto wie co jeszcze? Około 1000 “prywatnych” fotografii wykonanych przez użytkowników tej aplikacji jest publicznie dostępnych z powodu niezabezpieczonej instancji S3.

Pliki w ToCoMoje są publiczne

O problemie powiadomił nas Marcin, który pochylił się nad działaniem aplikacji ToCoMoje po tym, jak została ona wycofana z AppStore. Marcin przekonał się, że każdy jest w stanie ściągnąć pliki wysłane przez użytkowników aplikacji gdyż są one dostępne w Amazon Web Services bez żadnych zabezpieczeń.

Najprostszym sposobem na uzyskanie dostępu do zdjęć jest wpisanie do przeglądarki adresu bucketa, odczytanie nazwy plików i ich pobranie. Masowe pobranie danych też nie stanowi problemu. Marcin stworzył skrypty, które pozwalają pobrać listę obiektów AWS S3 i zacząć ściągać zdjęcia. Pobieżnie przejrzeliśmy zawartość. Było w niej ponad tysiąc paragonów, których pliki były modyfikowane w latach 2013-2017 (co oznacza, że były wśród nich paragony wystawione także w 2012 r. a może nawet wcześniej).

Oprócz paragonów były faktury…

…oraz zdjęcia liczników np. tego wodomierza

Trafiliśmy też na zdjęcia protokołów zdawczo-odbiorczych i dokumentów w nieznanych nam językach. Nie wiemy na ile ujawnienie tego typu plików może dla kogoś stanowić zagrożenie, ale i tak widzimy problem. Użytkownicy ToCoMoje najprawdopodobniej ufają, że zdjęcia fotografowanych przez nich dokumentów są dostępne tylko dla nich. A tak nie jest.

Próbowaliśmy to zgłosić

Nie myślcie, że piszemy o problemie bez uprzednich prób kontaktu z twórcą aplikacji. Najpierw napisaliśmy w tej sprawie na adres mailowy podany w Google Play. Równocześnie próbowaliśmy powiadomić prezesa spółki TCMJ Sp z o.o. pisząc do niego na LinkedIn i Facebooku. Nie dostaliśmy żadnych odpowiedzi. Patrząc na konto aplikacji na Twitterze można uznać, że projekt trochę stracił rozpęd. Ostatnie komentarze na Google Play mówią o “braku wsparcia” dla aplikacji, a niektóre osoby skarżą się, że utraciły dostęp do swoich paragonów lub nie mogą się zalogować po zmianie urządzenia. Niektóre komentarze są z marca tego roku, więc są jeszcze osoby chętne do używania tej aplikacji. Brak chyba tylko ludzi do jej rozwijania.

Swoją drogą, sprawa jest też ciekawa pod kątem RODO. Ujawnienie takiego “wycieku” po 25 maja mogło by być problematyczne. Jeśli więc sami jesteście twórcami jakichś zapomnianych aplikacji, lepiej przejrzyjcie stare serwery i dostępy…

Korzystałem z tej aplikacji — co robić, jak żyć?

Jeśli korzystałeś z aplikacji ToCoMoje, potraktuj swoje dane jako publicznie dostępne — i jeśli z jakiegoś powodu przechowywałeś w aplikacji swojego PIT-a albo zdjęcie dowodu, podejmij odpowiednie kroki. Celowo nie podajemy w artykule adresów instancji S3, ale dla podstawowego programisty pozyskanie tego adresu nie powinno stanowić problemu…

Zła konfiguracja usług Amazona to częsty problem

Nieumiejętne zabezpieczenie przechowywanych w chmurze Amazona plików to częsty problem. W ubiegłym roku pisaliśmy o wycieku danych amerykańskich wyborców z takich właśnie serwerów.

Niestety programiści nie zawsze wiedzą jak poprawnie skorzystać z mechanizmów bezpieczeństwa oferowanych przez Amazon lub przez inne rozwiązania/frameworki pomagające tworzyć webaplikacje.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *