Віртуальна клавіатура AI.type збирала дані 31 млн користувачів і зберігала їх в незахищеною БД
Фахівці Kromtech Security Center розповіли про виявлення неправильно налаштованої бази даних MongoDB, в якій вони виявили понад 577 Гб інформації про користувачів популярної віртуальної клавіатури AI.type.
Ізраїльський стартап AI.type розробляє різні рішення для Android, включаючи однойменну віртуальну клавіатуру, яку користувачі можуть повністю налаштувати для своїх потреб. Варто зазначити, що основною особливістю клавіатури є інтелектуальне введення. В даний час, згідно з офіційною статистикою, додаток був завантажений понад 40 млн разів.
Фахівці Kromtech Security Center виявили, що розробники AI.type не потурбувалися будь-якої захистом своєї бази MongoDB, яка в підсумку була вільно доступна всім охочим навіть без пароля. У базі містилася інформація про 31 293 959 користувачів.
Як виявилося, флагманський продукт компанії збирав всіляку інформацію про своїх користувачів, включаючи номери телефонів, IP- і email-адреси, номера IMSI і IMEI, інформацію про пристрій, ОС і мережі мобільного оператора, координати GPS, посилання на профілі користувачів в соціальних мережах, містять дати народження, фото та інші дані. Також база містить 372 млн імен і телефонних номерів, які додаток непомітно «витягало» зі списків контактів користувачів.
«Теоретично, будь-який, хто скачав і встановив на свій телефон віртуальну клавіатуру Ai.Type, по суті злив всі дані про своєму телефоні у відкритий доступ», - кажуть представники Kromtech Security Center.
При цьому представники Ai.type повідомили журналістам видання The Register , Що вразливу БД вже захистили, але в ній містилася лише половина даних, зібраних компанією про своїх користувачів. Розробники запевнили, що використовують цю неперсоналізовану інформацію виключно для статистичного аналізу поведінки користувачів і використовуваних ними патернів при роботі з клавіатурою. Без цього Ai.type не могла б так ефективно працювати з Інтелектуальне введення і давати підказки своїм користувачам.