承诺会保护隐私的社交应用True却意外曝光用户私人数据

来源:知道创宇2020.10.30

据外媒TechCrunch报道,True自称是一款能够“保护你的隐私”的社交网络应用。但由于安全漏洞,该公司的一台服务器却曝光了用户私人数据。这款应用于2017年由Hello Mobile推出,Hello Mobile是一家虚拟手机运营商,依附于T-Mobile的网络。

​​​​​​​

True官方网站介绍称,公司已经筹集到1400万美元的种子基金并称在推出后不久就拥有超50万名的用户。

该应用的一个数据库的控制面板在没有密码的情况下被暴露在网上,其允许任何人阅读、浏览和搜索该数据库——其中包括私人用户数据。

迪拜网络安全公司SpiderSilk的首席安全长Mossab Hussein发现了这个被暴露的控制面板并向TechCrunch提供了详细信息。来自搜索引擎BinaryEdge提供的数据显示,该曝光早在9月初就已经发生

在TechCrunch联系True之后,这家公司对控制面板进行了离线处理。

True CEO Bret Cox虽然向Techcrunch证实了安全漏洞的存在,但并没有回答他们提出的具体问题,包括该公司是否计划通知用户存在安全漏洞或否计划根据州数据泄露通知法向监管机构披露该事件。

据了解,控制面板包含了从今年2月开始的每日服务器日志,像用户注册的电子邮件地址或电话号码、用户之间的私人帖子和消息内容以及用户最后已知的地理位置--这些地理位置则可以识别用户过去或曾经的位置。另外,控制面板还会暴露用户上传的电子邮件和电话联系方式,True会在应用中使用这些信息来匹配已知的朋友。并且这些数据都没有进行加密处理。

TechCrunch通过创建一个测试账号并要求Hussein提供只有他们自己知道的数据如注册账号时使用的电话号码确认了这一情况。

Hussein指出,控制面板还对外泄露了账号访问令牌,这些令牌可以用来入侵和劫持任何用户的账号。虽然这些账号访问令牌看起来像一行随机的字母和数字,但用户无需每次输入就可以登录到应用中。Hussein就使用TechCrunch的测试帐号在控制面板中找到了后者的访问令牌,并使用它访问其帐号并在上面发布消息。

此外,控制面板还显示了一次性登录代码,True会将这些代码发送到与账号关联的电子邮件地址或电话号码,而不是存储密码。

True表示,在删除账号后与其有关的所有内容都会从该公司的服务器被清除。然而TechCrunch经过测试发现事实并非如此,他们仍可以在控制面板上搜索到其私人信息、帖子和照片等。

目前,TechCrunch无法联系到Hello Mobile的发言人。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态