据外媒TechCrunch报道,True自称是一款能够“保护你的隐私”的社交网络应用。但由于安全漏洞,该公司的一台服务器却曝光了用户私人数据。这款应用于2017年由Hello Mobile推出,Hello Mobile是一家虚拟手机运营商,依附于T-Mobile的网络。
True官方网站介绍称,公司已经筹集到1400万美元的种子基金并称在推出后不久就拥有超50万名的用户。
但该应用的一个数据库的控制面板在没有密码的情况下被暴露在网上,其允许任何人阅读、浏览和搜索该数据库--其中包括私人用户数据。
迪拜网络安全公司SpiderSilk的首席安全长Mossab Hussein发现了这个被暴露的控制面板并向TechCrunch提供了详细信息。来自搜索引擎BinaryEdge提供的数据显示,该曝光早在9月初就已经发生。
在TechCrunch联系True之后,这家公司对控制面板进行了离线处理。
True CEO Bret Cox虽然向Techcrunch证实了安全漏洞的存在,但并没有回答他们提出的具体问题,包括该公司是否计划通知用户存在安全漏洞或否计划根据州数据泄露通知法向监管机构披露该事件。
据了解,控制面板包含了从今年2月开始的每日服务器日志,像用户注册的电子邮件地址或电话号码、用户之间的私人帖子和消息内容以及用户最后已知的地理位置--这些地理位置则可以识别用户过去或曾经的位置。另外,控制面板还会暴露用户上传的电子邮件和电话联系方式,True会在应用中使用这些信息来匹配已知的朋友。并且这些数据都没有进行加密处理。
TechCrunch通过创建一个测试账号并要求Hussein提供只有他们自己知道的数据如注册账号时使用的电话号码确认了这一情况。
Hussein指出,控制面板还对外泄露了账号访问令牌,这些令牌可以用来入侵和劫持任何用户的账号。虽然这些账号访问令牌看起来像一行随机的字母和数字,但用户无需每次输入就可以登录到应用中。Hussein就使用TechCrunch的测试帐号在控制面板中找到了后者的访问令牌,并使用它访问其帐号并在上面发布消息。
此外,控制面板还显示了一次性登录代码,True会将这些代码发送到与账号关联的电子邮件地址或电话号码,而不是存储密码。
True表示,在删除账号后与其有关的所有内容都会从该公司的服务器被清除。然而TechCrunch经过测试发现事实并非如此,他们仍可以在控制面板上搜索到其私人信息、帖子和照片等。
目前,TechCrunch无法联系到Hello Mobile的发言人。