Whisper, eine Social-Media-App, die Anonymität verspricht, enthüllt 900 Millionen Benutzerdatensätze

Der Unterschied zwischen Whisper und herkömmlichen Social-Media-Plattformen wie Facebook oder Twitter besteht darin, dass Sie keine persönlichen Informationen eingeben müssen, um diese zu verwenden. Stattdessen wählen Sie einfach einen Benutzernamen aus, geben an, wie alt Sie sind, und können Ihre Gedanken frei teilen. Da es sich um ein soziales Netzwerk handelt, können andere Leute sie sehen, aber sie haben keine Ahnung, wer sie geschrieben hat.

Whisper hat 900 Millionen Benutzerdatensätze in einer ungeschützten Datenbank hinterlassen

Aufgrund der versprochenen Anonymität werden Benutzer dazu ermutigt, Dinge zu posten, die sie normalerweise nicht veröffentlichen würden, und ihnen wird gesagt, dass sie durch die Verwendung von Whisper ihre tiefsten Geheimnisse an "dem sichersten Ort im Internet" weitergeben. Es ist eine kühne Behauptung, die etwas seltsam klingt, wenn man bedenkt, dass die offizielle Website der App standardmäßig über HTTP und nicht über HTTPS geladen wird. Es wird noch seltsamer, wenn Sie feststellen, dass dieselbe Anwendung eine Datenbank mit nicht weniger als 900 Millionen Benutzerdatensätzen verlassen hat, die dem Internet ausgesetzt sind.

Die Entdeckung wurde letzte Woche von Forschern von Twelve Security gemacht. Der 5-TB-Elasticsearch-Cluster war für alle mit dem Internet verbundenen Personen zugänglich, er war nicht durch ein Kennwort geschützt, und einige der darin enthaltenen Informationen stammen aus dem Start von Whisper im Jahr 2012.

War die Datenexposition so ernst?

Kurz nach der Entdeckung der Datenbank kontaktierten die Experten von Twelve das FBI und die Washington Post. Die Post half ihnen, mit MediaLab, dem Entwickler der Anwendung, in Kontakt zu treten, und am Montag wurde die Datenbank offline geschaltet. Trotz der relativ schnellen Reaktion argumentierte MediaLab, dass das Leck nicht allzu besorgniserregend sei.

Laut Vertretern, die mit der Washington Post gesprochen hatten, hatten Benutzer bereitwillig beschlossen, die meisten Daten in der Whisper-App zu teilen, was bedeutete, dass die Belichtung zwar nicht hätte passieren sollen, aber keine so große Sache war. Sie sprachen über die Millionen von Benutzerposts, die durchgesickert waren, und sie argumentierten, dass das Leck die Anonymität der Benutzer nicht in unmittelbare Gefahr brachte. Die Sicherheitsexperten waren sich jedoch nicht so sicher.

Die undichte Datenbank enthielt keine Namen, enthielt jedoch das angegebene Alter, Geschlecht, die Heimatstadt, den Spitznamen und die Gruppenmitgliedschaft der einzelnen Benutzer. Wenn jemand versucht hätte, die Identität eines Whisper-Benutzers herauszufinden, könnten diese Daten die Möglichkeiten erheblich einschränken. Wenn Sie dies mit der Tatsache verbinden, dass auch der letzte bekannte Standort der betroffenen Benutzer bekannt wurde, werden Sie feststellen, dass es keineswegs unmöglich war, einen durchgesickerten Beitrag an eine reale Person zu binden. Nach dem Bericht der Post nahm The Register auch Kontakt mit den Forschern auf und stellte fest, dass der Bereich der exponierten Metadaten noch größer war als ursprünglich angenommen. Es stellte sich heraus, dass auch Passwort-Token in der Datenbank enthalten waren, und die Forscher bestätigten, dass sie sich mit ihnen in die Konten von Personen einloggen konnten. Plötzlich schien das Problem viel größer zu sein, als die Vertreter von MediaLab glauben machen würden. Für diejenigen unter Ihnen, die die Nachrichten rund um die Whisper-App genau verfolgen, könnte dies ein Déjà-vu-Moment sein.

Dies ist nicht die erste sicherheitsrelevante Kontroverse um Whisper

Bereits 2014 wurden Guardian- Reporter in das Hauptquartier von Whisper eingeladen, um eine mögliche Partnerschaft zwischen der Nachrichtenagentur und der Social-Media-Anwendung zu erörtern. Während sie dort waren, erfuhren sie, dass Whisper über Mechanismen verfügt, die den Standort der Personen verfolgen, selbst wenn die Benutzer dies ausdrücklich abgelehnt hatten.

Nachdem der Bericht veröffentlicht worden war, bestritten Vertreter des sozialen Netzwerks alle Anschuldigungen und beschuldigten die britische Zeitung öffentlich, Lügen veröffentlicht zu haben. Schließlich wurden die genannten Vertreter entlassen, und die Verfolgung wurde anscheinend gestoppt.

Im Moment versuchen die Mitarbeiter von MediaLab erneut, die Öffentlichkeit davon zu überzeugen, dass die Dinge nicht so schlecht sind, wie es die Nachrichten vermuten lassen, und leider müssen wir sagen, dass sie nicht wirklich genug getan haben, um uns zu versichern, dass dies mehr als nur ein Versuch ist den Ernst der Situation herunterzuspielen.