250万条「性爱聊天」记录被曝光，罪魁祸首居然名为「成都高新技术区」

技术编辑：宗恩丨发自 SiFou Office

SegmentFault 思否报道丨公众号：SegmentFault

---

来自外媒消息，两位安全研究人员 Noam Rotem 和 Ran Locar 在 5 月 24 日扫描开放的互联网时，偶然发现了一组可公开访问的亚马逊网络服务 「数据存储库」。每一个库都包含了来自不一样专业约会应用的大量数据，其中包括 3somes、Cougary、Gay Daddy Bear、Xpal、BBW Dating、Casualx、SugarD、Herpes Dating和 GHunt。

两位研究人员在「数据存储库」中总共发现了 845 千兆字节和接近 250 万条记录，这些数据可能来自于数十万用户。

据安全人员透露这些数据中有性爱照片、录音、私人聊天截图和付款收据，并且这些截图足以证实这是一场「交易」。在被曝光的我的身份信息中包括真实姓名、生日和电子邮件地址。安全研究人员 Locar 对本身发现这些数据感到很是惊讶，这些数据若是被用来勒索、心理虐待将会对这些用户形成经济和心理的双重损失。

矛头直指「成都高新区」

当研究人员深度追踪暴露的数据库时，他们意识到，全部的应用程序彷佛都来自同一个来源。而且它们的基础设施至关统一，应用的网站都有相同的布局，许多应用程序都以 Google Play 的开发者身份列为「成都高新技术区」。研究人员联系了 3 somes 。次日，他们获得了简短的回应，全部的数据库同时被锁定。以后他们试图联系「成都高新技术区」，但未收到任何回复。

去年也有相似的事件发生。网络安全公司 UpGuard 的研究人员发现，大量 Facebook 用户信息被公开发布在亚马逊公司的云计算服务器上，墨西哥城的媒体公司 Cultura Colectiva 错误的公开存储了 5.4 亿 Facebook 用户的记录，包括身份号码、评论和帐户名称。

在总共 146G 的 Cultura Colectiva 数据集中，研究人员表示很难知道有多少 Facebook 用户受到了影响。UpGuard 说在关闭数据库时也遇到了困难。该公司花了数月时间向 Cultura Colectiva 和亚马逊发送电子邮件，提醒他们注意这个问题。直到 Facebook 联系了亚马逊，泄露才得以解决。

Facebook 也由于此事股价大跌。

这并非黑客入侵，而只是马虎的将存储数据地址搞错，并错误地让数据被访问。

像 Amazon Web Services 的简单存储服务这样的程序，本质上是一个可上网的硬盘驱动器，它为客户提供了让哪部分的人看到这些数据的选择。有时，这些信息被设计成面向公众的，好比存储在公司网站上的照片或其余图像缓存。但有些时候他也能够被设置公开，一般状况这充其量只是一个可有可无的错误，但若是是像上述这些重要的数据就会引起巨大的灾难。

AWS 和其余云提供商为了不此类错误添加了不少安全机制，以在用户存储数据库配置为可公开访问时重复警告用户。这个问题在整个安全行业都是众所周知的。可是仍然有无数的错误致使曝光。