Wanneer u een nieuwe app downloadt en gaat gebruiken, wordt u mogelijk vaker wel dan niet gevraagd een account aan te maken. Hierbij wordt informatie overhandigd zoals uw naam, geboortedatum, land, e-mailadres, enzovoort. Helaas lijkt het erop dat er volgens beveiligingsonderzoekers verschillende apps in de Play Store zijn waarvan is vastgesteld dat ze persoonlijke gegevens van hun gebruikers vrijgeven.
Apps in de Play Store onthullen persoonlijke gegevens van gebruikers
De schuldige achter de ontmaskering is IDMerit, een in Californië gevestigd bedrijf voor identiteitsverificatie. Veel apps vertrouwen op diensten als IDMerit om te verifiëren dat hun gebruikers zijn wie ze zeggen dat ze zijn. Het is een vrij gebruikelijke praktijk, vooral in bank- en fintech-apps. Dus toen IDMerit zijn database wijd open op het internet achterliet zonder dat er een wachtwoord voor nodig was, waren de persoonlijke gegevens van mensen in 26 landen daar voor iedereen toegankelijk.
Volgens de beveiligingsonderzoekers was de database bijna één terabyte groot en bevatte deze bijna een miljard gevoelige records. De blootgestelde gegevens omvatten volledige namen, geboortedata, thuisadressen, telefoonnummers, e-mailadressen, nationale ID-nummers en zelfs telecom-metagegevens. De VS werden het zwaarst getroffen: ruim 203 miljoen records werden openbaar gemaakt. Mexico werd tweede met 124 miljoen, gevolgd door de Filipijnen met 72 miljoen.
We moeten erop wijzen dat dit geen hack was en dat er niet in IDMerit werd ingebroken. Maar in plaats daarvan werd de database toegankelijk gelaten voor iedereen die wist waar hij moest zoeken. De onderzoekers namen contact op met IDMerit, die de database de volgende dag veiligstelde.
Wat dit voor jou betekent
Het goede nieuws is dat er op dit moment geen bewijs is van kwaadwillige activiteit in verband met de openbaar gemaakte gegevens. Maar dat is geen reden om te ontspannen. Geautomatiseerde crawlers die door kwaadwillenden zijn gebouwd, scannen voortdurend het internet op zoek naar precies dit soort blootgestelde databases. Als beveiligingsonderzoekers het hebben gevonden, bestaat de kans dat anderen dat ook hebben gedaan.
Ook kunnen dit soort gegevens worden gebruikt bij identiteitsdiefstal. We hebben het over nationale identiteitsbewijzen gecombineerd met huisadressen, telefoonnummers en geboortedata. Dat is genoeg om frauduleuze accounts te openen, krediet aan te vragen of zelfs SIM-swapping uit te voeren.
Dus, wat kun je eraan doen? Helaas niet veel. Zoals we al zeiden, is KYC in apps gebruikelijk, dus we kunnen alleen maar hopen dat bedrijven onze privacy serieus nemen en hun databases goed beveiligen.
