Ai.type keyboard app developer accidentally leaks personal data of 31 million users

HUP cikkturkáló

The emails, phone numbers, and locations of 31 million users of Android keyboard app Ai.type have been compromised after the developer failed to secure the server on which the information was stored. Some 577 gigabytes of data is said to have been exposed [...]

The app's founder, Eitan Fitusi, made the rather basic error of not protecting the MongoDB database with a password, leaving it vulnerable

Részletek: http://www.androidpolice.com/2017/12/07/ai-type-keyboard-app-developer-…

............................................________
....................................,.-'"...................``~.,
.............................,.-"..................................."-.,
.........................,/...............................................":,
.....................,?......................................................,
.................../...........................................................,}
................./......................................................,:`^`..}
.............../...................................................,:"........./
..............?.....__.........................................:`.........../
............./__.(....."~-,_..............................,:`........../
.........../(_...."~,_........"~,_....................,:`........_/
..........{.._$;_......"=,_......."-,_.......,.-~-,},.~";/....}
...........((.....*~_......."=-._......";,,./`..../"............../
...,,,___.`~,......"~.,....................`.....}............../
............(....`=-,,.......`........................(......;_,,-"
............/.`~,......`-...................................../
.............`~.*-,.....................................|,./.....,__
,,_..........}.>-._...................................|..............`=~-,
.....`=~-,__......`,.................................
...................`=~-,,.,...............................
................................`:,,...........................`..............__
.....................................`=-,...................,%`>--==``
........................................_..........._,-%.......`
...................................,

  • 3398 megtekintés

( peta v | 2017. 12. 07., cs – 15:12 )

Mostanság keresnék pont valami frankó android billentyűzetet. Egy kilőve

( tigrincs | 2017. 12. 07., cs – 15:25 )

Visszakanyarodhatnank oda ,hogy fasznak gyujt egy keyboard app email telefonszam meg location adatokat?

( gelei v | 2017. 12. 07., cs – 15:28 )

> Eitan Fitusi, made the rather basic error of not protecting the MongoDB database with a password, leaving it vulnerable

wut

Azt látom problémának, hogy minden fejlesztő a könnyű, kényelmes és persze a leggyorsabb utat keresi a probléma megoldására. Innentől kezdve, ha nincs szépen körbe korlátozva és alapértelmezésben minimális biztonságra kényszerítve, akkor semmi sem lesz, csak csapatás. Ráadásul egy MongoDB-t használó fejlesztőnek nem biztos, hogy minden alkalmazásbeli biztonsági megfontolással tisztában kell lennie.

Az egy jó nagy hülyeség hogy minden alá nosql kell.
Mostanában az a divat, hogy nodejs szerver, javascript alkalmazás és belehányunk valami perzisztencia modult.
Ha éppen a mongo driver jön szembe akkor azt (akinek jobb a marketingje éppen)

Egyáltalán nem használjuk a nosql-séget, csak éppen perzisztálunk.
Na ennyi erővel postgres is lehetne alatta.

--
Gábriel Ákos

Mit is írtál le pontosan? Azt látom, hogy "a fentieken kívül a cluster kódja is hibás, neten megtalálod."... de nem tudom mik azok a fentiek, nem találom a vonatkozó kommentet. Vagy az volna, hogy szar a default config? Ugyanmár. Valami olyan, ami alkalmatlanná teszi a feladatára?

Mi az, hogy "ennyire lyukas"? Mennyire? Egy olyan problémáról van szó, ami bug, mert nem hibás működés eredménye, nem is hiányosság, hiszen a funkció ott van, csupán egy szerencsétlen config következménye.

Egyébként én sem értem miért ez a default config, és szerintem is érdemesebb volna alapból zárkózottabbnak lenni, mondjuk azáltal, hogy localhostra van korlátozva. Az egy jó fejlesztői default lehet. Ettől függetlenül, ha valaki felrakja csak úgy egy production gépre, anélkül, hogy a dokumentációt elolvasná, és az alapvető beállításokat megcsinálná, az nem a mongo fejlesztőinek a hülyesége, legyen akármilyen megengedő a config.

"egyébként a mongodb fejlesztőket hogyhogy nem tiltották még el a számítógéptől?"
Ugy, hogy nagyon leterhelte a szamitogepeltilto bizottsagot a MSFT es az AAPL kivizsgalasa. Miutan ezt a ket bagazst eltiltottak, majd meggondoljak, hogy mi legyen a Mongoval.
De ugy latom, az ex-Macromedianal sikeres volt a tiltas, ki is halt a Flash. Szoval haladnak.

--
Worrying about killer AI and the superintelligent robots is like worrying about overcrowding on Mars. - Garry Kasparov

> "hogy a picsaba" van ilyen szaroknak 31 millio usere

Mert az ötlet nem feltétlenül rossz, és talán mert kapott egy kis reklámot az alkalmazás, amikor újságírók szintén erre gondoltak, és írtak róla.

> Nincs az az Isten, hogy lecsereljem a mobil OS-em default keyboardjat

Bizonyára tud mindent, amire neked szükséged van. Nem mondható ez el mindenkiről. Én például hiányolnám a swipe gépelést akármilyen billentyűzetről. Látom te az ékezeteket hiányolod, mégis megalkuszol, és lejjebb adsz az igényességedből.

Oké, érthető. De ez a te preferenciád, másoknak viszont más preferenciáik vannak, amire lehet nem ad a gyári billentyűzet opciót. Szóval van létjogosultsága, és magyarázata is annak, hogy egy esetleges jó ötlet mögé hogy kerül akkora felhasználóbázis.

( skuba | 2017. 12. 10., v – 17:29 )

Fasza, és én még fizettem ezért a szarért. De miért gyűjt adatokat egy billentyűzet?

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~
Ubuntu 16.04 LTS

Nem vetted még észre, hogy az "okos"-technológia ipar mögött mi az alapkoncepció?

Találd fel újra a kereket (billentyűzet), csomagold eladható köntösbe és hitesd el mindenkivel, hogy ez szükséges "innováció" (marketing bullshit, bértollnokok tech-divatcikkjei), gyűjts minél több infót a felhasználókról, akik bedőltek. A megszerezett információk a piacon értékesíthetők, persze alapesetben anonim módon.

Nem gondolnám, hogy a predikciós szövegbevitel, az automatikus javítás, vagy akár a swipe módon írás kerékfeltalálás lenne, sem azt, hogy el kell hitetni akárkivel, hogy szükséges volna. Nem szükséges, de hasznos tud lenni. Ha neked nem az, így jártál. Számomra az utóbbi hasznos, és segít.

Mindhárom létezett a szélsőségesen idealista, marketingbuzi AI.Type elnevezésű csiligány előtt is.

Nem szükséges, de hasznos tud lenni.

Nem vitatta senki.

Számomra az utóbbi hasznos, és segít.

Érdekes, hogy a nem támogatott OS-ek használata ellen kikelsz a biztonsági szempontok miatt, ezt meg besöpröd a szőnyeg alá egy "hasznos, és segít"-tel, annak ellenére, hogy sokkal nagyobb kaliberű adatvesztésért felelős, mint pl. az XP-ket eddig ért támadások összesen. Bár legalább topikot nyitottál róla. Azért jár a piros pont.