- A+
近日,安全研究人员发现了与某“社交”App关联的数据库存在安全问题,使其中数据暴露无遗。
发现这个数据库的人叫Jeremiah Flower,此人从事安全软件行业十余年。他发现这个数据库中包含众多与美国地区用户相关的信息,包括他们的个人资料、性取向、生活习性以及对待伴侣的忠诚度等内容。Fowler表示,通过用户ID,任何人都能很轻易的识别出这个数据库中的多数用户。
根据Fowler的说法,数据库的IP地址位于美国的服务器上,其大多数用户也都显示为当地用户。但他发现,该数据库中的数据都是来自多个App,由不同的个人或企业开发。能够通过大量的记录数据,包括IP、年龄、位置、姓名等,精准的识别每一个用户,成为一种独特的网络指纹。
Fowler试图联系与应用程序关联的邮件,并使用Whois查询地址和电话信息,发现定位的地址是中国的兰州市地铁一号线(???),并且电话都是9开头的空号(950xxxxxxx)。并且表示,他并不是在暗示或指责这些程序的开发人员有什么邪恶的意图,但任何一个应用程序的开发人员在如此长的时间中隐藏自己的身份或联系方式的行为,令人感到很困惑,因此也对这个中国的开发商表示怀疑。
Imperva研究员兼Terry Ray对Fowler的观点表示同意,并且认为这个数据库还存在一个比较奇怪的点就是,该应用程序非常明显的是由隐藏身份的中国开发人员开发出的一款针对英语使用者的App,这就让人非常好奇他们收集这些资料的用途。此外,为什么会出现多个“约会”类程序的数据都存储在同一个数据库中,而这几个程序的名称、开发商之间都没有任何关联的情况?
在发布这则消息时,Fowler透露该数据库到现在也仍是“公开可访问”状态,并且他向用户发出的众多核实邮件也都没有收到回复。Fowler表示,他最关心的问题是,一个匿名的App开发人员可以完全访问用户手机的全部内容,包括个人数据和敏感信息,这让人很不安。并认为,用户应该提升自我的安全意识,并清楚了解他们究竟把数据提供给了谁,同时抵制任何以隐私换便利的行为。
据Verizon的一项调查表示,在2017年,有22%的数据泄漏事件涉及使用被盗凭证,又有36%的个人信息受到影响,如姓名、生日和性别等。
研究人员表示,虽然文中的数据库没有存储过多的个人信息,但实际上也可以通过这些数据定位到具体的人。这说明涉及自身的数据,无论内容重要与否,都需要谨慎对待,尽可能的在社交中保持“匿名”。
*参考来源:infosecurity-magazine,Karunesh91编译,转载请注明来自FreeBuf.COM