تزحف نزهة كما يكشف التطبيق التدليك قاعدة البيانات مع تعليقات العمال

لقد سرب تطبيق حجز المساج الشهير الفاصوليا على 309،000 ملف شخصي للعملاء ، بما في ذلك تعليقات من مدلكهم أو مدلكاتهم حول مدى زحزعة عملائهم.

تم اكتشاف قاعدة بيانات التطبيق المفتوحة والمفتوحة بدون كلمة مرور من قِبل الباحث أوليفر هوغ ، الذي قام بإخراج TechCrunch .

وقال هوغ في سقسقة يوم الثلاثاء إن الخرق كان سببه أمن غير منفَّذ كان ينبغي أن يكون سهلاً ، وأن الفشل قد يؤدي إلى "بعض الابتزاز الخطير".

https://twitter.com/olihough86/status/1067481560579014657

تشير تقارير TechCrunch إلى أن Urban ترك قاعدة البيانات لمثيل Elasticsearch الذي تستضيفه Google – وهي أداة بحث للمؤسسات – عبر الإنترنت بدون كلمة مرور ، "مما يسمح لأي شخص بقراءة مئات الآلاف من سجلات العملاء والموظفين".

يمكن لأي شخص يعرف مكان البحث الوصول إلى قاعدة البيانات أو تحريرها أو حذفها.

صانعي التطبيق ، الذي كان يعرف سابقا باسم التدليك الحضري ولكن الآن بكل بساطة "أوربان" ، أكد الخرق يوم الثلاثاء. في الأسئلة الشائعة ، قال أوربان إن أسماء العملاء وعناوين البريد الإلكتروني وأرقام الهواتف قد تم كشفها ، بالإضافة إلى رموزهم البريدية المحتملة ، إذا قاموا بوضع حجز على المنصة. تقول أوربان إنها ستتصل بأولئك الذين تعتقد أن معلوماتهم قد تعرضت.

الخبر السار: لم يتم الكشف عن تفاصيل بطاقة الدفع أو الوصول إليها. وقال أوربان إنها لا تخزن مثل هذه المعلومات.

الخبر السار الآخر: لم يكن هذا هجومًا. بدلاً من ذلك ، كانت نقطة ضعف تعرض لها باحث أمن يبحث مع شودان: محرك بحث للأجهزة وقواعد البيانات المكشوفة.

الأخبار السيئة: لم يذكر أوربان البتات الأخرى التي تم كشفها – ويمكن أن تكون محرجة للغاية لأي شخص ليس فخوراً بالتخلص من التعيين المزمن أو الذي يطلب نهاية سعيدة. من كتاب Zack Whittaker عن TechCrunch:

من بين السجلات شملت الآلاف من الشكاوى من العمال عن عملائهم. تضمنت السجلات شكاوى محددة – من كتل الحساب للسلوك الاحتيالي ، وإساءة استخدام نظام الإحالة والحوالات الدائمة. لكن العديد من السجلات شملت أيضا مزاعم بسوء السلوك الجنسي من قبل العميل – مثل طلب "التدليك في منطقة الأعضاء التناسلية" وطلب "خدمات جنسية من المعالج". تم وضع علامات على الآخرين بأنها "خطيرة" ، بينما تم حظر الآخرين بسبب "استفسارات الشرطة". وشملت كل شكوى معلومات تعريف شخصية للعميل – بما في ذلك الاسم والعنوان والرمز البريدي ورقم الهاتف.

قد تكون قاعدة البيانات المكشوفة مفتوحة لعدة أسابيع على الأقل قبل أن يقوم Urban بسحبها دون اتصال ، وهو ما فعلته بعد قيام TechCrunch بالاتصال به.

قال الرئيس التنفيذي الحضري جاك تانج إنه أبلغ مفوض المعلومات في المملكة المتحدة (ICO) بشأن الخرق. اعتبارا من يوم الأربعاء ، لم يحدد ICO ما إذا كان سيجري التحقيق.

بيان اوربان:

أغلقنا على الفور نقطة الضعف المحتملة واتخذنا جميع الإجراءات المناسبة ، بما في ذلك عن طريق إشعار المستخدمين و ICO.

وقد أكد لنا الباحث الآن أنه لم ينسخ أو يحتفظ بأي بيانات ، وأنه لم ينقل أي شيء إلى أي شخص آخر غير الصحفي. كان هذا هو الوصول الوحيد الذي نعرفه.

نود أن نعتذر لأي شخص يُحتمل أن يكون قد تأثر وأن يواصل التحقيق في هذه المسألة كأولوية.

اتصلت TechCrunch بالعديد من المستخدمين الذين تم اختيارهم عشوائياً والذين تم الكشف عن معلوماتهم. قال مستخدم طلب عدم ذكر اسمه إن الخرق كان "انتهاكًا كبيرًا" لخصوصيتها.

وبالحديث عن المبالغ الضخمة ، قد يؤدي ذلك إلى فرض غرامة كبيرة على شركة Urban: قد تواجه الشركة عقوبات تصل إلى 4٪ من عائداتها السنوية العالمية إذا تبين أنها انتهكت قواعد إجمالي الناتج المحلي الإجمالي.