Whisper, μια εφαρμογή κοινωνικών μέσων που υπόσχεται την ανωνυμία, εκθέτει 900 εκατομμύρια εγγραφές χρηστών

Η διαφορά μεταξύ Whisper και πιο συμβατικών πλατφόρμων κοινωνικών μέσων όπως το Facebook ή το Twitter είναι ότι δεν χρειάζεται να εισάγετε προσωπικές πληροφορίες για να το χρησιμοποιήσετε. Αντ 'αυτού, επιλέγετε ένα όνομα χρήστη, δηλώνετε την ηλικία σας και μπορείτε να μοιραστείτε ελεύθερα τις σκέψεις σας. Αυτό είναι ένα κοινωνικό δίκτυο, άλλοι άνθρωποι τα βλέπουν, αλλά δεν έχουν ιδέα ποιος τους έγραψε.

Ο Whisper άφησε 900 εκατομμύρια εγγραφές χρηστών σε μια μη προστατευμένη βάση δεδομένων

Λόγω της υποσχέσεως ανωνυμίας, οι χρήστες ενθαρρύνονται να δημοσιεύουν πράγματα που κανονικά αποφεύγουν να δημοσιοποιούν και λένε ότι χρησιμοποιώντας τη Whisper μοιράζονται τα βαθύτερα μυστικά τους στο "ασφαλέστερο μέρος στο διαδίκτυο". Είναι μια τολμηρή αξίωση που ακούγεται κάπως περίεργη όταν θεωρείτε ότι ο επίσημος ιστότοπος της εφαρμογής φορτώνεται από HTTP και όχι από HTTPS από προεπιλογή. Παίρνει πιο περίεργο όταν συνειδητοποιείτε ότι η ίδια εφαρμογή άφησε μια βάση δεδομένων με λιγότερα από 900 εκατομμύρια αρχεία χρηστών που εκτέθηκαν στο Διαδίκτυο.

Η ανακάλυψη έγινε την περασμένη εβδομάδα από ερευνητές από την Twelve Security. Το σύμπλεγμα 5TB Elasticsearch ήταν προσβάσιμο σε οποιονδήποτε συνδεόταν στο διαδίκτυο, δεν προστατεύεται από κωδικό πρόσβασης και ορισμένες από τις πληροφορίες που περιέχονται σε αυτό χρονολογούνται από την κυκλοφορία του Whisper το 2012.

Ήταν η έκθεση δεδομένων τόσο σοβαρή;

Λίγο μετά την ανακάλυψη της βάσης δεδομένων, οι εμπειρογνώμονες των Twelve ήλθαν σε επαφή με το FBI και το The Washington Post. Το Post τους βοήθησε να έρθουν σε επαφή με τον MediaLab, τον προγραμματιστή της εφαρμογής, και τη Δευτέρα, η βάση δεδομένων λήφθηκε εκτός σύνδεσης. Παρά τη σχετικά γρήγορη αντίδραση, η MediaLab υποστήριξε ότι δεν υπάρχει τίποτα πολύ ανησυχητικό για τη διαρροή.

Σύμφωνα με τους αντιπροσώπους που μίλησαν στο The Washington Post, οι χρήστες είχαν αποφασίσει να μοιραστούν τα περισσότερα από τα δεδομένα στην εφαρμογή Whisper ούτως ή άλλως, πράγμα που σήμαινε ότι παρότι δεν έπρεπε να συμβεί, η έκθεση δεν ήταν τόσο μεγάλη υπόθεση. Μιλούσαν για τα εκατομμύρια των θέσεων χρηστών που διαρρέουν και το επιχείρημά τους ήταν ότι η διαρροή δεν έθετε την ανωνυμία των χρηστών σε άμεσο κίνδυνο. Οι ειδικοί ασφαλείας, ωστόσο, δεν ήταν τόσο σίγουροι.

Η βάση δεδομένων διαρροών δεν περιείχε ονόματα, αλλά περιελάμβανε την ηλικία, το φύλο, την πατρίδα, το ψευδώνυμο και την ιδιότητα του μέλους. Αν κάποιος προσπαθούσε να καταλάβει την ταυτότητα ενός χρήστη Whisper, τα δεδομένα αυτά θα μπορούσαν να περιορίσουν σημαντικά τις δυνατότητες. Ζευγάρι αυτό με το γεγονός ότι αποκαλύφθηκε επίσης η τελευταία γνωστή τοποθεσία των επηρεαζόμενων χρηστών και θα δείτε ότι η σύνδεση μιας διαρρεύσιμης θέσης με ένα πραγματικό άτομο δεν ήταν καθόλου αδύνατη. Μετά την έκθεση του The Post, το Μητρώο έρχεται επίσης σε επαφή με τους ερευνητές και συνειδητοποίησε ότι το φάσμα των εκτεθειμένων μεταδεδομένων ήταν ακόμη μεγαλύτερο από αυτό που είχε αρχικά προβλεφθεί. Αποδεικνύεται ότι οι μάρκες κωδικών πρόσβασης συμπεριλήφθηκαν επίσης στη βάση δεδομένων και οι ερευνητές επιβεβαίωσαν ότι με τη χρήση τους μπορούσαν να συνδεθούν στους λογαριασμούς των ανθρώπων. Ξαφνικά, το πρόβλημα φαινόταν πολύ μεγαλύτερο από ό, τι οι εκπρόσωποι της MediaLab θα πίστευαν. Για όσους από εσάς ακολουθώντας προσεκτικά τις ειδήσεις γύρω από την εφαρμογή Whisper, αυτό μπορεί να είναι λίγο μια στιγμή déjà vu.

Αυτή δεν είναι η πρώτη διαμάχη σχετικά με την ασφάλεια γύρω από το Whisper

Το 2014, οι δημοσιογράφοι της Guardian προσκλήθηκαν στο headquarters του Whisper για να συζητήσουν μια πιθανή συνεργασία μεταξύ της αίθουσας ειδήσεων και της εφαρμογής κοινωνικών μέσων. Ενώ βρισκόταν εκεί, έμαθαν ότι ο Whisper διέθετε μηχανισμούς οι οποίοι θα μπορούσαν να εντοπίσουν την τοποθεσία των ανθρώπων, ακόμη και όταν οι χρήστες το είχαν επιλέξει ρητά.

Μετά την έκθεση, οι εκπρόσωποι του κοινωνικού δικτύου αρνήθηκαν όλους τους ισχυρισμούς και δημοσίως κατηγόρησαν τη βρετανική εφημερίδα ότι δημοσιεύει ψέματα. Τελικά οι εν λόγω εκπρόσωποι απολύθηκαν και η παρακολούθηση προφανώς σταμάτησε.

Αυτή τη στιγμή, οι υπάλληλοι της MediaLab προσπαθούν και πάλι να πείσουν το κοινό ότι τα πράγματα δεν είναι τόσο κακά όσο οι ειδησεογραφικές αναφορές υποδηλώνουν και, δυστυχώς, πρέπει να πούμε ότι δεν έχουν κάνει αρκετά για να μας διαβεβαιώσουν ότι αυτό είναι κάτι περισσότερο από μια απλή προσπάθεια να υποβαθμίσει τη σοβαρότητα της κατάστασης.