Aufstrebende indische Social-Media-App Glatt hinterließ eine interne Datenbank mit personenbezogenen Daten von Benutzern, einschließlich Daten von Schulkindern, die monatelang öffentlich dem Internet ausgesetzt waren.
Mindestens seit dem 11. Dezember war eine Datenbank mit vollständigen Namen, Handynummern, Geburtsdaten und Profilbildern von Slick-Benutzern ohne Passwort online.
Das in Bengaluru ansässige Slick wurde im November 2022 vom ehemaligen Exekutivdirektor der Unacademy, Archit Nanda, ins Leben gerufen, nachdem er sich von Krypto abgewendet und sein früheres Startup CoinMint geschlossen hatte. Sein neuestes Projekt, Slick, ist sowohl für Android als auch für iOS verfügbar und funktioniert ähnlich wie Gas, eine auf Komplimenten basierende App, die in den USA beliebt ist. Die App ermöglicht es auch Schülern und Studenten, anonym mit und über ihre Freunde zu sprechen.
Sicherheitsforscher Anurag Sen fand die exponierte Datenbank und bat Tech um Hilfe bei der Meldung des Vorfalls an das Social-Media-Startup. Slick sicherte die Datenbank kurz nachdem Tech sich am Freitag gemeldet hatte.
Aufgrund einer Fehlkonfiguration konnte jeder, der mit der IP-Adresse der Datenbank vertraut war, auf die Datenbank zugreifen, die zum Zeitpunkt der Sicherung Einträge von über 153.000 Benutzern enthielt. Tech stellte außerdem fest, dass auf die Datenbank über eine leicht zu erratende Subdomain auf der Hauptwebsite von Slick zugegriffen werden konnte.
Der Forscher informierte auch das indische Computer-Notfallteam, bekannt als CERT-In, die führende Behörde des Landes für die Behandlung von Cybersicherheitsproblemen.
Nanda bestätigte gegenüber Tech, dass Slick die Enthüllung behoben hat. Es ist nicht bekannt, ob jemand anderes als Sen die Datenbank gefunden hat, bevor sie gesichert wurde.
Slick zog kurz nach seinem Debüt im letzten Jahr viele jüngere Benutzer in Indien an. Anfang dieses Monats ging Nanda zu Twitter bekannt geben dass die App 100.000 Downloads überschritten hat.