Pray.com数据曝光影响了Good Heavens 10M

据研究人员称，基督教信仰应用Pray.com已泄露了多达1000万人的私人数据。

该应用程序按订阅提供“每日祈祷和圣经故事，以激发，教育和帮助您入睡”。订阅价格从50美元到120美元不等。它提供许多音频内容，包括乔尔·奥斯丁（Joel Osteen）这样的福音传教士提供的服务，以及克里斯汀·贝尔（Kristin Bell）和詹姆士·厄尔·琼斯（James Earl Jones）等名人声音的宗教录音。

它已被超过100万人下载到Google Play上，在Apple App Store中排名第24。

vpnMentor分析师发现了属于Pray.com的几个开放的，可公共访问的云数据库（在本例中为Amazon Web Services S3存储桶），其中包含190万个文件-大约262 GB的数据。研究人员说，其中大部分是内部信息，但其中一个涉及数据。 80,000个文件包含了数千万人的各种个人身份信息（PII），而不仅仅是Pray.com用户。

这些包括应用程序用户上传的照片（Pray.com的私人“社区”社交网络的个人资料照片和头像），包括未成年人。调查发现，这些文件还包括来自教会的CSV文件，这些教会使用该应用与他们的会众进行交流。这些文件包含教堂参加者的列表，以及每位参加教堂的人的信息，包括姓名，家庭和电子邮件地址，电话号码和婚姻状况。

该应用程序还说，它促进了教堂的捐赠–用户可以通过该应用程序直接捐赠给Pray.com生态系统中的任何教堂。捐赠也连同捐赠金额，捐赠者的PII和Pray.com处理捐赠的费用一起记录在了存储桶中。但是，缺少任何将捐款转发给教堂的记录。

研究人员说：“由Pray.com处理的捐赠清单很长，这将使网络犯罪分子对应用程序用户的财务状况具有宝贵的见解，并有机会与出现在应用程序中的用户联系，查询先前的捐赠。”

最令人讨厌的是，云数据库包含了来自用户的整个电话簿。每当有人加入“社区”社交网络时，该应用都会询问它是否可以邀请朋友加入。如果用户回答“是”，则该应用会从其设备上载用户的整个“电话簿”，其中包含所有联系人和相关信息。

研究人员说，其中许多电话簿包含数百个个人联系人，每个联系人都透露该人的PII数据，包括姓名，电话号码，电子邮件，家庭和公司地址，以及其他详细信息，例如公司名称和家庭联系。一些条目包括私人帐户的登录信息。

vpnMentor本周的分析显示：“将Pray.com的数据存储在这些电话簿文件中的人不是应用程序用户”。 “他们只是那些联系方式已保存在Pray.com用户设备上的人。总体而言，我们认为Pray.com未经他们的直接许可就存储了多达1000万人的私人数据-并且其用户没有意识到他们允许这种情况发生。”

有趣的是，将超过80,000个文件设为私有文件，只有具有适当安全权限的人才能访问。但是，vpnMentor发现，这些文件是通过第二项亚马逊服务公开的，这表明了云配置可能带来的复杂性。

他们解释说：“通过进一步调查，我们了解到Pray.com已保护了一些文件，并将其设置为存储桶中的私有文件以限制访问。” “但是，与此同时，Pray.com已将其S3存储桶与另一项AWS服务-AWS CloudFront内容交付网络（CDN）集成在一起。 Cloudfront允许应用程序开发人员将内容缓存在世界各地由AWS托管的代理服务器上，并且更接近应用程序的用户，而无需从应用程序的服务器加载这些文件。结果，无论CD3桶中的文件有何单独的安全设置，都可以通过CDN间接查看和访问它们。”

他们补充说：“ Pray.com的开发人员不小心创建了一个后门，该后门可以完全访问他们试图保护的所有文件。”

Rapid7云安全实践技术副总裁Chris DeRamus指出，公司需要意识到云的自助服务性质使他们面临更大的风险。

不受保护的S3存储桶和数据库很常见，攻击者继续利用它。实际上，在2018年和2019年因云配置错误而造成的196次违规中，S3存储桶配置错误占了这些违规的16％，”他通过电子邮件说。 “组织应采取适当的安全措施，例如安全自动化，以确保始终保护数据。如果一开始就不考虑风险并解决风险，那么组织将面临罚款，律师费以及最终的生存能力。”

据vpnMentor称，该数据库于10月6日被发现，但尽管多次尝试就此问题与Pray.com联系，但该数据库并未被私有化。研究人员直接联系亚马逊后，联系人文件于11月17日从打开的存储桶中删除。

研究人员说，虽然不知道文件暴露了多长时间，但其中一些数据可以追溯到2016年。

vpnMentor表示：“ Pray.com在不保护其用户数据的同时，还积极地收集其朋友和家人的数据，使数百万人面临各种危险（例如网络钓鱼，身份盗用和帐户接管），” “不应低估对应用程序用户和公众的影响。”