还在捏脸玩?捏着捏着数据就泄露了

还在捏脸玩?捏着捏着数据就泄露了

移动互联网社交中,表情包的出现极大地改变了人们的交流和沟通习惯,也代表着年轻群体对互联网社交在个性化方面的强烈需求。

比如11月在国内免费榜单窜红的虚拟形象产品ZEPETO和秀蛋App,用户通过这两款产品,可“捏”出个人虚拟形象,作为个性化的表情包进行社交。与此同时,在美国区表情包社交App排行榜,也跑出了一匹“黑马”——进入免费社交榜单前五位的Boomoji。

还在捏脸玩?捏着捏着数据就泄露了

Boomoji近一个月下载量

Boomoji的用户超过五百万,由于没有给它的两个面向互联网的数据库设置密码,暴露了其所有用户的个人数据。

Boomoji的总部位于中国,其开发人员在没有密码的情况下将Ela​​sticSearch数据库保留在线——一个在美国的国际用户数据库和一个在香港的国内用户数据库。根据我国数据安全法律,中国公民的数据必须位于国内的服务器上。

任何知道查看位置的人都可以使用他们的Web浏览器访问、编辑或删除数据库。而且,由于数据库在Shodan(一个暴露设备和数据库的搜索引擎)上列出,因此只需要几个关键字就能找到。

在TechCrunch研究人员向Boomoji报告了这一问题后,Boomoji关闭了这两个数据库。一位匿名的发言人在邮件中解释说:“这两个数据库是我们为了测试而做的”。

这绝对不是真的。

数据库中包含所有用户的用户名、性别、国籍以及手机类型等数据。数据中还包括用户唯一的Boomoji ID,它与数据库中的其他信息相关联。其它信息包括用户的学校或公司——Boomoji一直在吹嘘的可以让用户与他们的同学或同事取得联系的功能。知道唯一ID后就能知道375,000多个用户的精确地理位置,因为这些用户允许应用程序始终定位其位置。

还在捏脸玩?捏着捏着数据就泄露了

更糟糕的是,如果用户允许应用程序访问其通讯录,那么数据库中还包含用户的手机通讯录。

其中一个文件夹中有超过1.25亿个联系人的信息,包括用户通讯录中的姓名和电话号码。每条信息都和唯一的Boomoji ID相关联,所以很容易就能知道联系列表属于哪一个用户。

即使你没有用过这个App,但是只要有你电话的人用过这个App,你的信息就很有能也在Boomoji的数据库中。据研究人员所知,目前没有办法将您的信息删除。

根据Boomoji的回复,研究人员使用一次性电话号码在专用iPhone上下载了App来验证数据库中的内容,该电话号码上有一些虚拟的、但易于搜索的联系人。要查找朋友,该应用程序会将您的联系人与在数据库中的用户进行匹配。当研究人员允许应用程序访问联系人列表时,整个虚拟联系人列表立即上传——并且可以在数据库中查看。

只要安装了应用程序并且允许应用程序访问联系人列表,就会自动上传新的电话号码。

然而,没有数据被加密。所有数据都以明文形式存储。

虽然Boomoji总部位于中国,但它表示遵守加利福尼亚州法律,加州的数据保护和隐私规则在美国是最严格的。研究人员询问Boomoji是否已经或计划根据州法律要求将此次数据泄露时间报告给加利福尼亚州司法部长,但该公司没有回答。

鉴于数据库中存在大量欧洲用户信息,该公司还可能面临欧盟GDPR的处罚,该法规可能会对严重违规行为处以年度收入4%的罚款。

这是涉及ElasticSearch的一系列数据暴露事件中最新出现的,ElasticSearch是一种流行的开源搜索和数据库软件。最近几周,由于未能采取基本的数据安全措施,包括Urban Massage 公开自己的客户数据库,Mindbody旗下的FitMetrix 忘记在其服务器设置密码,因此一些数据被曝光。通信公司Voxox在用户毫不知情的情况下泄露了电话号码和双因素代码。

对虚拟社交的乐趣,从QQ秀到现在的捏脸App,一直都没有变过。今年以来,还有不少“以自己创造虚拟替身”为主打功能的社交应用出现,例如时尚捏人应用imvu、虚拟视频社交应用秀蛋、AR 聊天应用Avatar Chat、制作AR形象的表情包的Boomoji等。而App“爆款”蕴含的巨大能量带来的是话题、流量以及隐私数据泄露。Zepeto,这款韩国开发的应用程序登陆中国后,有谣言表明该应用程序正在跟踪用户的位置,引起了用户的恐慌。

爆款App不在少数,“脸萌”、“小咖秀”、“旅行青蛙”等App都曾红极一时,在刷爆朋友圈之后又渐渐被用户抛弃,我们的数据也被抛弃,这其中蕴含的风险不言而喻。从长远来考虑,爆款产品更应该注重用户体验和用户数据隐私保护,而我们也应该要理性跟风。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133381.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code