Categories
科技報導

沒錯,一個承諾保護隱私的社交應用程序,會意外洩露用戶的私人數據



根據國外媒體TechCrunch的報導,True聲稱自己是“保護您的隱私”的社交網絡應用程序。 但是,由於安全漏洞,該公司的一台服務器公開了用戶的私人數據。此應用程序由Hello Mobile於2017年啟動。Hello Mobile是隸屬於T-Mobile網絡的虛擬手機運營商。

Screenshot_2020-10-29是的,該社交網絡應用程序承諾“保護您的隱私”,公開私人信息和[...].png

根據True的官方網站,該公司已經籌集了1400萬美元的種子基金,並表示在推出後不久就有超過500,000名用戶。

但是,該應用程序數據庫的控制面板在沒有密碼的情況下在Internet上公開,允許任何人讀取,瀏覽和搜索數據庫,包括私人用戶數據。

迪拜網絡安全公司SpiderSilk首席安全官Mossab Hussein發現了暴露的控制面板,並向TechCrunch提供了詳細信息。 搜索引擎BinaryEdge提供的數據表明,這種曝光早在9月就已發生。

TechCrunch與True聯絡後,該公司離線處理了控制面板。

儘管True CEO Bret Cox確認存在Techcrunch的安全漏洞,但並未回答他們的具體問題,包括公司是否計劃將安全漏洞通知用戶或是否計劃根據州數據洩露事件向監管機構披露事件通知法。

據了解,控制面板包含從今年2月開始的每日服務器日誌,例如用戶註冊的電子郵件地址或電話號碼,用戶之間的私人帖子和消息內容以及用戶的最後已知地理位置-這些地理位置可以識別用戶的過去或過去的位置。 此外,控制面板還將公開用戶上傳的電子郵件和電話聯繫信息,True會在應用程序中使用此信息來匹配已知的朋友。 並且這些數據未加密。

TechCrunch通過創建一個測試帳戶並要求侯賽因提供僅他們知道的數據來證實這一點,例如註冊該帳戶時使用的電話號碼。

侯賽因指出,控制面板還洩漏了帳戶訪問令牌,該令牌可用於入侵和劫持任何用戶的帳戶。 儘管這些帳戶訪問令牌看起來像是由字母和數字組成的隨機行,但用戶無需登錄就可以登錄應用程序。 侯賽因使用TechCrunch的測試帳戶在控制面板中找到後者的訪問令牌,並用它來訪問他的帳戶並在其上發布消息。

此外,控制面板還顯示一次性登錄代碼,True會將其發送到與該帳戶關聯的電子郵件地址或電話號碼,而不存儲密碼。

True說刪除該帳戶後,與該帳戶有關的所有內容將從公司的服務器中刪除。 但是,TechCrunch已測試並發現情況並非如此。 他們仍然可以在控制面板上搜索自己的私人信息,帖子和照片。

目前,TechCrunch無法聯繫到Hello Mobile的發言人。