Незапароленный сервер виртуальной клавиатуры AI.type стал причиной утечки персональных данных 31 млн пользователей

AI.type — это настраиваемая экранная клавиатура для мобильных устройств, пользовательская аудитория которой превышает 40 млн человек по всему миру.

Без внимания к «деталям»

Однако даже столь обширный охват не заставил разработчиков задуматься о безопасности. Отсутствие пароля на сервере открывало доступ к более чем 577 Гб пользовательских персональных данных. Утечка коснулась только владельцев устройств на платформе Android, сообщает ZDNet.

Что же утекло?

Каждая запись в базе данных программы обязательно содержит:

• полное имя пользователя,
• адрес его электронной почты,
• точное местоположение,
• количество дней, прошедших с момента установки приложения.

Сбор остальной информации зависит от версии программы: бесплатная собирает все доступные данные для последующей монетизации через рекламу. Более полные отчеты о пользователях содержат идентификаторы мобильного абонента (IMSI) и мобильного оборудования (IMEI), номера телефонов, названия поставщиков мобильных устройств и даже IP-адреса и названия интернет-провайдеров при подключении устройства к сети Wi-Fi. Также в некоторых записях базы данных были обнаружены детали пользовательского профиля Google, в т.ч. дата рождения, пол и фото. Еще в БД нашлось несколько таблиц контактов из пользовательских телефонов. В них содержалось более 10,7 млн email-адресов и 374,6 млн телефонных номеров. Более того, в некоторых случаях программа сохраняла привязанные друг к другу логины и пароли с различных сайтов, а также списки установленных на мобильное устройство приложений.

«Дождались»

Уязвимость была обнаружена исследователями в из центра безопасности Kromtech, которые тут же поспешили связаться с главным разработчиком. Эксперты отмечают, что добиться устранения информационной «бреши» удалось только спустя несколько попыток выйти на контакт. Сам создатель AI.type от комментариев отказался.