Whisper, en app med sociale medier, der lover anonymitet, udsætter 900 millioner brugerregistre
Forskellen mellem Whisper og mere konventionelle sociale medieplatforme som Facebook eller Twitter er, at du ikke behøver at indtaste nogen personlige oplysninger for at bruge dem. I stedet skal du bare vælge et brugernavn, angive, hvilken alder du er, og du kan frit dele dine tanker. Dette er et socialt netværk, andre mennesker ser dem, men de har ingen idé om, hvem der har skrevet dem.
Table of Contents
Whisper efterlod 900 millioner brugerposter i en ubeskyttet database
På grund af den lovede anonymitet opfordres brugerne til at indsende ting, de normalt undgår at offentliggøre, og de får at vide, at de ved at bruge Whisper deler deres dybeste hemmeligheder om "det sikreste sted på Internettet." Det er en dristig påstand, der lyder noget underligt, når du overvejer, at appens officielle websted indlæses over HTTP snarere end HTTPS som standard. Det bliver stadig mere underligt, når du er klar over, at den samme applikation efterlod en database med ikke mindre end 900 millioner brugerposter udsat for internettet.
Opdagelsen blev foretaget i sidste uge af forskere fra Twelve Security. 5TB Elasticsearch-klyngen var tilgængelig for alle, der var tilsluttet internettet, den var ikke beskyttet af en adgangskode, og nogle af de oplysninger, der var indeholdt i den, dateres tilbage til Whisper's lancering i 2012.
Var dataeksponeringen så alvorlig?
Kort efter opdagelsen af databasen kontaktede Tolvs eksperter FBI og The Washington Post. Posten hjalp dem med at komme i kontakt med MediaLab, programmets udvikler, og mandag blev databasen taget offline. På trods af den relativt hurtige reaktion hævdede MediaLab, at der ikke er noget for bekymrende for lækagen.
Ifølge repræsentanter, der talte med The Washington Post, havde brugerne villigt besluttet at dele det meste af dataene i Whisper-appen alligevel, hvilket betød, at selv om det ikke skulle ske, var eksponeringen ikke så stor. De talte om de millioner af brugerindlæg, der var lækket, og deres argument var, at lækagen ikke satte brugernes anonymitet i nogen øjeblikkelig fare. Sikkerhedseksperterne var imidlertid ikke så sikre.
Den lække database indeholdt ingen navne, men den indeholdt individuelle brugers angivne alder, køn, hjemby, kaldenavn og gruppemedlemskab. Hvis nogen forsøgte at finde ud af identiteten af en hvis bruger, kunne disse data have begrænset mulighederne markant. Par dette sammen med det faktum, at den sidste kendte placering af de berørte brugere også blev afsløret, og du vil se, at det var langt fra umuligt at binde et lækket post til et rigtigt individ. Efter Postens rapport kom registeret også i kontakt med forskerne og indså, at udvalget af eksponerede metadata var endnu større end oprindeligt forventet. Det viser sig, at adgangskode-tokens også var inkluderet i databasen, og forskerne bekræftede, at de ved hjælp af dem kunne logge ind på folks konti. Pludselig virkede problemet meget større, end MediaLabs repræsentanter ville have dig til at tro. For dem af jer, der følger nyhederne omkring Whisper-appen nøje, kan dette være lidt af et déjà vu-øjeblik.
Dette er ikke den første sikkerhedsrelaterede kontrovers omkring Whisper
Tilbage i 2014 blev Guardian- reportere inviteret til Whisper's HQ for at diskutere et potentielt partnerskab mellem nyhedsudgangen og applikationen på sociale medier. Mens de var der, lærte de, at Whisper havde mekanismer på plads, der kunne spore folks placering, selv når brugerne udtrykkeligt havde fravalgt dette.
Efter at rapporten kom ud nægtede repræsentanter for det sociale netværk alle beskyldninger og beskyldte den britiske avis offentligt for at have offentliggjort løgne. Til sidst blev de nævnte repræsentanter fyret, og sporingen blev tilsyneladende stoppet.
Lige nu prøver medarbejdere i MediaLab endnu en gang at overbevise offentligheden om, at tingene ikke er så dårlige, som nyhedsrapporterne antyder, og desværre må vi sige, at de ikke virkelig har gjort nok for at forsikre os om, at dette er mere end bare et forsøg for at bagatellisere situationens alvor.
