Die beliebte animierte Avatar-Erstellung App Boomoji, mit mehr als fünf Millionen Nutzern auf der ganzen Welt, stellte die persönlichen Daten ihrer gesamten Nutzerbasis zur Verfügung, nachdem sie es versäumt hatte, Passwörter für zwei ihrer internetfähigen Datenbanken zu vergeben.

Der chinesische App-Entwickler ließ die ElasticSearch-Datenbanken ohne Passwörter online – eine in den USA ansässige Datenbank für seine internationalen Kunden und eine in Hongkong ansässige Datenbank mit überwiegend chinesischen Benutzerdaten, um die chinesischen Datenschutzgesetze einzuhalten, die verlangen, dass sich die Daten chinesischer Bürger auf Servern im Land befinden.

Jeder, der wusste, wo er suchen musste, konnte mit seinem Webbrowser auf die Datenbank zugreifen, sie bearbeiten oder löschen. Und da die Datenbank bei Shodan, einer Suchmaschine für exponierte Geräte und Datenbanken, gelistet war, konnten sie mit ein paar Schlüsselwörtern leicht gefunden werden.

Nachdem TechCrunch sich gemeldet hatte, zog Boomoji die beiden Datenbanken offline. “Diese beiden Konten wurden von uns zu Testzwecken erstellt”, sagte ein ungenannter Boomoji-Sprecher in einer E-Mail.

Aber das ist nicht wahr.

Die Datenbank enthielt Datensätze über alle iOS- und Android-Nutzer des Unternehmens – rund 5,3 Millionen Nutzer in dieser Woche. Jeder Datensatz enthielt seinen Benutzernamen, sein Geschlecht, sein Land und seinen Telefontyp.

Jeder Datensatz enthielt auch die eindeutige Boomoji-ID eines Benutzers, die mit anderen Tabellen in der Datenbank verknüpft war. Diese anderen Tabellen enthielten, ob und in welche Schule sie gehen – ein Feature, das Boomoji als Möglichkeit für die Nutzer, mit ihren Kommilitonen in Kontakt zu treten, propagiert. Diese eindeutige ID enthielt auch die genaue Geolokalisierung von mehr als 375.000 Benutzern, die es der App ermöglicht hatten, ihren Standort jederzeit zu erfahren.

Schlimmer noch, die Datenbank enthielt jeden Telefonbucheintrag jedes Benutzers, der der App den Zugriff auf seine Kontakte erlaubt hatte.

Eine Tabelle hatte mehr als 125 Millionen Kontakte, einschließlich ihrer Namen (wie im Telefonbuch eines Benutzers geschrieben) und ihrer Telefonnummern. Jeder Datensatz war mit der eindeutigen ID eines Boomoji verknüpft, so dass man relativ leicht erkennen konnte, zu wem die Kontaktliste gehörte.

Selbst wenn du die App nicht benutzt hast, hat jeder, der deine Telefonnummer auf seinem Gerät gespeichert hat und die App benutzt hat, deine Nummer wahrscheinlich in die Boomoji-Datenbank hochgeladen. Nach unserem Kenntnisstand gibt es keine Möglichkeit, sich abzumelden oder Ihre Daten zu löschen.

Angesichts der Antwort von Boomoji haben wir den Inhalt der Datenbank überprüft, indem wir die App auf ein dediziertes iPhone heruntergeladen haben, das eine Wegwerf-Rufnummer verwendet, die einige Dummys enthält, aber leicht zu durchsuchende Kontaktlisteneinträge. Um Freunde zu finden, gleicht die App Ihre Kontakte mit denen ab, die mit der App in ihrer Datenbank registriert sind. Als wir aufgefordert wurden, der App den Zugriff auf unsere Kontaktliste zu erlauben, wurde die gesamte Dummy-Kontaktliste sofort hochgeladen – und in der Datenbank angezeigt.

Solange die App installiert war und Zugriff auf die Kontakte hatte, wurden neue Telefonnummern automatisch hochgeladen.

Dennoch wurden keine der Daten verschlüsselt. Alle Daten wurden im Klartext gespeichert.

Obwohl Boomoji seinen Sitz in China hat, behauptet es, das kalifornische Staatsgesetz zu befolgen, wo die Datenschutzbestimmungen zu den strengsten in den USA gehören. Wir fragten Boomoji, ob es den kalifornischen Generalstaatsanwalt über die vom Staatsgesetz geforderte Exposition informiert hat oder zu informieren plant, aber das Unternehmen antwortete nicht.

Angesichts der Vielzahl von Informationen europäischer Nutzer in der Datenbank kann das Unternehmen auch mit Strafen nach der Allgemeinen Datenschutzverordnung der EU rechnen, die bei schweren Verstößen Geldbußen von bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens verhängen kann.

Angesichts der Präsenz in China ist jedoch nicht klar, welche konkreten Auswirkungen das Unternehmen haben könnte.

Dies ist das neueste in einer Reihe von Exposures mit ElasticSearch-Instanzen, einer beliebten Open-Source-Such- und Datenbanksoftware. In den letzten Wochen wurden mehrere hochkarätige Datenexpositionen gemeldet, weil Unternehmen keine grundlegenden Datensicherheitsmaßnahmen ergriffen haben – darunter Urban Massage, die ihre eigene Kundendatenbank enthüllt, Mindbody-eigene FitMetrix, die vergessen hat, ein Passwort auf ihre Server zu setzen, und Voxox, ein Kommunikationsunternehmen, das Telefonnummern und Zwei-Faktor-Codes an Millionen ahnungsloser Benutzer weitergegeben hat.

Hast du einen Tipp bekommen? Sie können Tipps sicher über Signal und WhatsApp an +1 646-755-8849 senden. Sie können auch PGP-E-Mails mit dem Fingerabdruck versenden: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.