注重隐私的社交网络应用程序True的安全漏洞暴露了其一台服务器,从而导致私人用户数据泄露。
具有讽刺意味的是,一个自豪地声称可以保护用户隐私的社交应用程序已经泄露了成千上万个用户的敏感数据。
True的社交网络应用程序由Hello Mobile于2017年推出,由于配置错误使其中一台服务器暴露在外,因此遭受了大规模数据泄露。
公开的数据不受密码保护,并包含敏感信息,例如私人消息内容。
迪拜安全公司SpiderSilk报告说,配置错误意味着任何人都可以访问,读取和浏览泄漏的数据库,因为该数据库没有密码保护或加密。
SpiderSilk的首席安全官Mossab Hussein发现了True的公开数据库,并与TechCrunch共享了其详细信息。
暴露的仪表台包含可追溯至2月的信息。它存储了每天的服务器日志,用户的注册电话号码和电子邮件地址,私人帖子的内容,用户的最后已知地理位置以及用户之间交换的消息。
据TechCrunch称,它还公开了电话联系人和用户联系人的电子邮件。
根据BinaryEdge上的信息,BinaryEdge是一个在暴露的设备和数据库上承载信息的搜索引擎,该应用程序的仪表板自2020年9月初以来一直处于暴露状态。
TechCrunch创建了一个测试帐户,并确认仪表板返回了真实的用户数据,而侯赛因则表示正在泄漏帐户访问令牌。
黑客可以使用这些令牌劫持到用户的帐户中。此外,仪表板还公开了True发送给帐户的关联电子邮件地址或电话号码的一次性登录代码,而不是存储密码。
True现在已把仪表板脱机。该公司首席执行官布雷特·考克斯(Bret Cox)虽然确认了安全漏洞,但没有提供有关此事件的关键细节。该公司还没有确认他们是否打算根据州的数据泄露通知法,通知用户有关该失效的消息,或告知监管机构。
SpiderSilk进行的测试表明,公开的数据可用于控制帐户并在受害者的供稿上发布消息。但True声称删除帐户将删除其服务器中的所有内容。但是,侯赛因告诉TechCrunch,仍然不会删除私人消息,照片和帖子。