关于ZAKER 融媒体解决方案 合作 加入
51CTO 10-29

承诺会保护隐私的社交应用 True 却意外曝光用户私人数据

据外媒 TechCrunch 报道,True 自称是一款能够 " 保护你的隐私 " 的社交网络应用。但由于安全漏洞,该公司的一台服务器却曝光了用户私人数据。这款应用于 2017 年由 Hello Mobile 推出,Hello Mobile 是一家虚拟手机运营商,依附于 T-Mobile 的网络。

作者:cnBeta 来源:今日头条|2020-10-29 10:50

收藏

分享

据外媒 TechCrunch 报道,True 自称是一款能够 " 保护你的隐私 " 的社交网络应用。但由于安全漏洞,该公司的一台服务器却曝光了用户私人数据。这款应用于 2017 年由 Hello Mobile 推出,Hello Mobile 是一家虚拟手机运营商,依附于 T-Mobile 的网络。

True 官方网站介绍称,公司已经筹集到 1400 万美元的种子基金并称在推出后不久就拥有超 50 万名的用户。

但该应用的一个数据库的控制面板在没有密码的情况下被暴露在网上,其允许任何人阅读、浏览和搜索该数据库 -- 其中包括私人用户数据。

迪拜网络安全公司 SpiderSilk 的首席安全长 Mossab Hussein 发现了这个被暴露的控制面板并向 TechCrunch 提供了详细信息。来自搜索引擎 BinaryEdge 提供的数据显示,该曝光早在 9 月初就已经发生。

在 TechCrunch 联系 True 之后,这家公司对控制面板进行了离线处理。

True CEO Bret Cox 虽然向 Techcrunch 证实了安全漏洞的存在,但并没有回答他们提出的具体问题,包括该公司是否计划通知用户存在安全漏洞或否计划根据州数据泄露通知法向监管机构披露该事件。

据了解,控制面板包含了从今年 2 月开始的每日服务器日志,像用户注册的电子邮件地址或电话号码、用户之间的私人帖子和消息内容以及用户最后已知的地理位置 -- 这些地理位置则可以识别用户过去或曾经的位置。另外,控制面板还会暴露用户上传的电子邮件和电话联系方式,True 会在应用中使用这些信息来匹配已知的朋友。并且这些数据都没有进行加密处理。

TechCrunch 通过创建一个测试账号并要求 Hussein 提供只有他们自己知道的数据如注册账号时使用的电话号码确认了这一情况。

Hussein 指出,控制面板还对外泄露了账号访问令牌,这些令牌可以用来入侵和劫持任何用户的账号。虽然这些账号访问令牌看起来像一行随机的字母和数字,但用户无需每次输入就可以登录到应用中。Hussein 就使用 TechCrunch 的测试帐号在控制面板中找到了后者的访问令牌,并使用它访问其帐号并在上面发布消息。

此外,控制面板还显示了一次性登录代码,True 会将这些代码发送到与账号关联的电子邮件地址或电话号码,而不是存储密码。

True 表示,在删除账号后与其有关的所有内容都会从该公司的服务器被清除。然而 TechCrunch 经过测试发现事实并非如此,他们仍可以在控制面板上搜索到其私人信息、帖子和照片等。

目前,TechCrunch 无法联系到 Hello Mobile 的发言人。

【编辑推荐】

在 Scrapy 中如何利用 CSS 选择器从网页中采集目标数据——详细教程(上篇)

AI 和 ML 在网络安全中的用例

干货大放送,这些安全技巧你了解吗?

教妹学 Java:Java 中的数据类型

IT 打工人,AI 又来 " 抢 " 你的饭碗了,这次是从数据中心下手

【责任编辑:华轩 TEL:(010)68476606】

点赞 0

安全隐私数据

分享 :

大家都在看猜你喜欢

以上内容由"51CTO"上传发布 查看原文