Ai.type keyboard app developer accidentally leaks personal data of 31 million users

 ( manfreed | 2017. december 7., csütörtök - 15:03 )

Idézet:
The emails, phone numbers, and locations of 31 million users of Android keyboard app Ai.type have been compromised after the developer failed to secure the server on which the information was stored. Some 577 gigabytes of data is said to have been exposed [...]

The app's founder, Eitan Fitusi, made the rather basic error of not protecting the MongoDB database with a password, leaving it vulnerable

Részletek: http://www.androidpolice.com/2017/12/07/ai-type-keyboard-app-developer-accidentally-leaks-personal-data-31-million-users/

............................................________
....................................,.-'"...................``~.,
.............................,.-"..................................."-.,
.........................,/...............................................":,
.....................,?......................................................,
.................../...........................................................,}
................./......................................................,:`^`..}
.............../...................................................,:"........./
..............?.....__.........................................:`.........../
............./__.(....."~-,_..............................,:`........../
.........../(_...."~,_........"~,_....................,:`........_/
..........{.._$;_......"=,_......."-,_.......,.-~-,},.~";/....}
...........((.....*~_......."=-._......";,,./`..../"............../
...,,,___.`~,......"~.,....................`.....}............../
............(....`=-,,.......`........................(......;_,,-"
............/.`~,......`-...................................../
.............`~.*-,.....................................|,./.....,__
,,_..........}.>-._...................................|..............`=~-,
.....`=~-,__......`,.................................
...................`=~-,,.,...............................
................................`:,,...........................`..............__
.....................................`=-,...................,%`>--==``
........................................_..........._,-%.......`
...................................,

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Mostanság keresnék pont valami frankó android billentyűzetet. Egy kilőve

Ó nincs gond ezzel sem, csak ne felejtsd el letiltani a tűzfalon az adatforgalmát, mielőtt használatba veszed.

Visszakanyarodhatnank oda ,hogy fasznak gyujt egy keyboard app email telefonszam meg location adatokat?

Teljesen jogos. Ha még az e-mail címet valami regisztráció okán rögzíti is, a telefonszámhoz semmi köze, és lefogadom, hogy nem nagyon szólt a felhasználónak, hogy fogja rögzíteni.

vagy az is lehet hogy de, csak a sok túlképzett user olvasatlanul okézta le a kérdés, mint úgy általában szokás

Ez kulon hab a tortan:

This isn't the first time Ai.type has made the headlines for security reasons. Back in 2011, Artem realized that for the app's "psychic" powers to work, it needed to send every keystroke you made to its own servers

oriasi +1

> Eitan Fitusi, made the rather basic error of not protecting the MongoDB database with a password, leaving it vulnerable

wut

bocsánat?

hát valahogy nehezen tudom feldolgozni, hogy a production adatbázisra elfelejtettek jelszót beállítani

Es tuzfalat is.

--
http://blog.htmm.hu/

"MongoDB databases are exposed to the internet by default, and don't require credentials immediately by default."

Public MongoDB Search for product:mongodb returned 35,421 results
https://www.shodan.io/report/nlrw9g59

egyébként a mongodb fejlesztőket hogyhogy nem tiltották még el a számítógéptől?

Nehéz ügy.

Egyfelől, megtehették volna, hogy alapból szét van korlátozva a rendszer, és úgy kell minden szart engedélyezgetni. Másfelől viszont miért bolondoknak fejlesztünk?

Azt látom problémának, hogy minden fejlesztő a könnyű, kényelmes és persze a leggyorsabb utat keresi a probléma megoldására. Innentől kezdve, ha nincs szépen körbe korlátozva és alapértelmezésben minimális biztonságra kényszerítve, akkor semmi sem lesz, csak csapatás. Ráadásul egy MongoDB-t használó fejlesztőnek nem biztos, hogy minden alkalmazásbeli biztonsági megfontolással tisztában kell lennie.

a mongodb egy szar, nem csak ezért.
--
Gábriel Ákos

Miért pontosan, és mit javasolsz helyette?

a fentieken kívül a cluster kódja is hibás, neten megtalálod.
Mit javaslok: elastic, postgres

--
Gábriel Ákos

Elastic-ot nem ismerem, megnézem majd. Postgres viszont (ha jól tudom*) nem nosql, szóval nem igazán alternatíva ilyen szempontból.

Az egy jó nagy hülyeség hogy minden alá nosql kell.
Mostanában az a divat, hogy nodejs szerver, javascript alkalmazás és belehányunk valami perzisztencia modult.
Ha éppen a mongo driver jön szembe akkor azt (akinek jobb a marketingje éppen)

Egyáltalán nem használjuk a nosql-séget, csak éppen perzisztálunk.
Na ennyi erővel postgres is lehetne alatta.

--
Gábriel Ákos

Az hülyeség, hogy minden alá nosql kell. Az viszont még nagyobb hülyeség, hogy ahol volna helye ott sem használunk, mert csak a divatot látjuk benne, és különben is, sql az isten.

Egyetértek. Nem azért szar a mongodb mert nosql. Hanem (már leírtam ...)
Létezik jó nosql implementáció is.
--
Gábriel Ákos

Mit is írtál le pontosan? Azt látom, hogy "a fentieken kívül a cluster kódja is hibás, neten megtalálod."... de nem tudom mik azok a fentiek, nem találom a vonatkozó kommentet. Vagy az volna, hogy szar a default config? Ugyanmár. Valami olyan, ami alkalmatlanná teszi a feladatára?

Sok éve tolom (kb. 1.6 verzió óta), soha nem okozott problémát.

--
Gábriel Ákos

+1

Lentebb: "elastic, postgres" - elastic is egy szemetdomb

Aláírásom megvan?
- - - - - - - - - - -
"A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol

> úgy kell minden szart engedélyezgetni

mert egyébként valaki szándékosan engedélyezné az autentikáció nélküli bejelentkezést?

Persze, te nem találkoztál még ezzel az állatfajjal? Ők azok aki az fs jogosultságproblémákat chmod -R 777-tel oldják meg.

I understood your point about minimum privileges. So, now service user need be in only one group: Administrators.
-Darren's coworker, thedailyWTF

--
Worrying about killer AI and the superintelligent robots is like worrying about overcrowding on Mars. - Garry Kasparov

El tudok képzelni olyan eseteket, amikor nincs rá szükség, például egy fejlesztői gépen, tűzfal mögött. Minek?

még ezzel sem tudok egyetérteni, de akkor is, miért ez a default?
(amúgy nem ismerem a mongo képességeit, de normális adatbázis-kezelőt be lehet úgy állítani, hogy a fejlesztőnek ne legyen bonyolult homokozni benne, de azért ne legyen ennyire lyukas)

Mi az, hogy "ennyire lyukas"? Mennyire? Egy olyan problémáról van szó, ami bug, mert nem hibás működés eredménye, nem is hiányosság, hiszen a funkció ott van, csupán egy szerencsétlen config következménye.

Egyébként én sem értem miért ez a default config, és szerintem is érdemesebb volna alapból zárkózottabbnak lenni, mondjuk azáltal, hogy localhostra van korlátozva. Az egy jó fejlesztői default lehet. Ettől függetlenül, ha valaki felrakja csak úgy egy production gépre, anélkül, hogy a dokumentációt elolvasná, és az alapvető beállításokat megcsinálná, az nem a mongo fejlesztőinek a hülyesége, legyen akármilyen megengedő a config.

ezen nem veszünk össze, tényleg mind a két fél hibás

szóval miért nem tiltották még el a mongo és az aitype fejlesztőit a számítógéphasználattól?

Az aitype fejlesztői biztos kapnak az orrukra, a mongo fejlesztői pedig, nos, hol van törvénybe szabva, hogy kötelező hülyék ellen túlbiztosítani mindent?

"egyébként a mongodb fejlesztőket hogyhogy nem tiltották még el a számítógéptől?"
Ugy, hogy nagyon leterhelte a szamitogepeltilto bizottsagot a MSFT es az AAPL kivizsgalasa. Miutan ezt a ket bagazst eltiltottak, majd meggondoljak, hogy mi legyen a Mongoval.
De ugy latom, az ex-Macromedianal sikeres volt a tiltas, ki is halt a Flash. Szoval haladnak.

--
Worrying about killer AI and the superintelligent robots is like worrying about overcrowding on Mars. - Garry Kasparov

és ezt hogy a picsába?

En azt nem ertem, hogy "hogy a picsaba" van ilyen szaroknak 31 millio usere? :O Nincs az az Isten, hogy lecsereljem a mobil OS-em default keyboardjat, es nem tudom ezzel masok hogy vannak, ezekutan vegkepp azt kell mondjam, rosszul extrapolaltam.

https://play.google.com/store/apps/details?id=com.app.poloniexwebview (fake bitcoin tőzsde app)

Ratings: 1.5 (196 total)
Android userek: YOLO, Installs 10,000 - 50,000
Google: ¯\_(ツ)_/¯

> "hogy a picsaba" van ilyen szaroknak 31 millio usere

Mert az ötlet nem feltétlenül rossz, és talán mert kapott egy kis reklámot az alkalmazás, amikor újságírók szintén erre gondoltak, és írtak róla.

> Nincs az az Isten, hogy lecsereljem a mobil OS-em default keyboardjat

Bizonyára tud mindent, amire neked szükséged van. Nem mondható ez el mindenkiről. Én például hiányolnám a swipe gépelést akármilyen billentyűzetről. Látom te az ékezeteket hiányolod, mégis megalkuszol, és lejjebb adsz az igényességedből.

Őőőő van a szifonom billentyuzeten ekezet, csak lusta vagyok altalaban hasznalni.

Swipe-os gepeles amugy nekem nem valt be, probaltam.

Oké, érthető. De ez a te preferenciád, másoknak viszont más preferenciáik vannak, amire lehet nem ad a gyári billentyűzet opciót. Szóval van létjogosultsága, és magyarázata is annak, hogy egy esetleges jó ötlet mögé hogy kerül akkora felhasználóbázis.

nemtom, talán ezekkel könyebb emojikat írni?

Fasza, és én még fizettem ezért a szarért. De miért gyűjt adatokat egy billentyűzet?

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~
Ubuntu 16.04 LTS

Nem vetted még észre, hogy az "okos"-technológia ipar mögött mi az alapkoncepció?

Találd fel újra a kereket (billentyűzet), csomagold eladható köntösbe és hitesd el mindenkivel, hogy ez szükséges "innováció" (marketing bullshit, bértollnokok tech-divatcikkjei), gyűjts minél több infót a felhasználókról, akik bedőltek. A megszerezett információk a piacon értékesíthetők, persze alapesetben anonim módon.

Nem gondolnám, hogy a predikciós szövegbevitel, az automatikus javítás, vagy akár a swipe módon írás kerékfeltalálás lenne, sem azt, hogy el kell hitetni akárkivel, hogy szükséges volna. Nem szükséges, de hasznos tud lenni. Ha neked nem az, így jártál. Számomra az utóbbi hasznos, és segít.

Mindhárom létezett a szélsőségesen idealista, marketingbuzi AI.Type elnevezésű csiligány előtt is.

Idézet:
Nem szükséges, de hasznos tud lenni.

Nem vitatta senki.

Idézet:
Számomra az utóbbi hasznos, és segít.

Érdekes, hogy a nem támogatott OS-ek használata ellen kikelsz a biztonsági szempontok miatt, ezt meg besöpröd a szőnyeg alá egy "hasznos, és segít"-tel, annak ellenére, hogy sokkal nagyobb kaliberű adatvesztésért felelős, mint pl. az XP-ket eddig ért támadások összesen. Bár legalább topikot nyitottál róla. Azért jár a piros pont.

Hogy penzt csinaljanak belole.