承诺“保护你的隐私”的社交网络应用程序True暴露了私人信息和用户位置

2020-10-29 09:44:36

这款应用是由Hello Mobile于2017年推出的,Hello Mobile是一家鲜为人知的虚拟蜂窝运营商,搭乘T-Mobile的网络。True的网站说,它已经筹集了1400万美元的种子资金,并在推出后不久就声称拥有50多万用户。

但该应用程序其中一个数据库的仪表盘在没有密码的情况下暴露在互联网上,任何人都可以阅读、浏览和搜索数据库-包括私人用户数据。

总部位于迪拜的网络安全公司SpiderSilk的首席安全官Mossab Hussein发现了暴露的仪表板,并向TechCrunch提供了细节。BinaryEdge是一家针对暴露的数据库和设备的搜索引擎,该公司提供的数据显示,仪表板至少从9月初就暴露了。

True首席执行官布雷特·考克斯(Bret Cox)证实了安全漏洞,但没有回答我们的具体问题,包括该公司是否计划将安全漏洞告知用户,或者是否计划根据州数据泄露通知法向监管机构披露这一事件。

该仪表板包含2月份以来的每日服务器日志,其中包括用户的注册电子邮件地址或电话号码、用户之间的私人帖子和消息的内容,以及用户最近已知的地理位置,这可以识别用户在哪里或曾经去过哪里。仪表板还暴露了用户上传的电子邮件和电话联系人,True用这些联系人与应用程序中的已知朋友进行匹配。

TechCrunch通过创建一个测试账户并要求侯赛因提供只有我们才知道的数据,例如用于注册账户的电话号码,证实仪表板正在返回真实的用户数据。

侯赛因说,仪表板还泄露了账户访问令牌,可以用来侵入和劫持任何用户的账户。这些账户访问令牌看起来像一行随机的字母和数字,但可以让用户登录到应用程序,而不必每次都输入他们的登录详细信息。使用我们的测试帐户,Hussein从仪表板找到了我们的访问令牌,并使用它访问了我们的帐户,并在我们的提要上发布了一条消息。

仪表板还暴露了一次性登录码,True将其发送到帐户的相关电子邮件地址或电话号码,而不是存储密码。

True说,删除一个帐户“将立即从我们的服务器上删除您的所有内容”,但删除我们的测试帐户并不会删除我们的私人消息、帖子和照片,仍然可以从仪表板中进行搜索。

侯赛因告诉TechCrunch:“这是任何组织都可能出错的又一个例子,即使是那些以隐私为中心的组织也是如此。”“它突显了不仅要建立安全的应用程序和网站,而且要确保在其内部程序中嵌入适当的数据安全措施的重要性。”

侯赛因还发现了一个暴露的数据库仪表盘,属于“匿名社交网络”Blind,员工们倾向于公开披露他们公司的渎职和不当行为。

您可以使用Signal和WhatsApp安全地与作者联系:+1 646-755-8849。