A anonimitást ígérő, a közösségi média alkalmazásba tartozó Whisper 900 millió felhasználói rekordot fed le
A Whisper és a szokásosabb közösségi médiaplatformok, például a Facebook vagy a Twitter közötti különbség az, hogy használatához nincs szükség személyes információ megadására. Ehelyett csak kiválaszt egy felhasználónevet, megadja, milyen korú, és szabadon megoszthatja gondolatait. Mivel ez közösségi hálózat, más emberek megismerik őket, de fogalmam sincs, ki írta őket.
Table of Contents
A Whisper 900 millió felhasználói rekordot nem védett adatbázisba hagyott
Az ígért névtelenség miatt a felhasználókat arra ösztönzik, hogy tegyenek közzé olyan dolgokat, amelyeket általában elkerültek a nyilvánosság elől, és azt mondják nekik, hogy a Whisper használatával "legbiztonságosabb helyen az interneten" osszák meg legmélyebb titkait. Ez egy merész állítás, amely kissé furcsanak hangzik, ha figyelembe veszi, hogy az alkalmazás hivatalos webhelye alapértelmezés szerint a HTTP-n keresztül töltődik be, nem pedig a HTTPS-en. Még furcsább lesz, amikor rájössz, hogy ugyanaz az alkalmazás olyan adatbázist hagyott el, amelynek kevesebb mint 900 millió felhasználói rekordja van az internetnek kitéve.
A felfedezést a múlt héten a Twelve Security kutatói készítették. Az 5 TB-os Elasticsearch klaszter bárki számára elérhető volt, aki csatlakozik az internethez, azt jelszóval nem védették, és az abban található információk némelyike a Whisper 2012-es indulásáról nyúlik vissza.
Komoly volt-e az adatkitettség?
Röviddel az adatbázis felfedezése után tizenkét szakértő kapcsolatba lépett az FBI-vel és a The Washington Post-lal. A Post segített nekik elérni a MediaLab-ot, az alkalmazás fejlesztőjét, és hétfőn az adatbázist offline állapotba vették. A viszonylag gyors reakció ellenére a MediaLab azt állította, hogy a szivárgás miatt semmi sem aggódik.
A The Washington Post-nal beszélõ képviselõk szerint a felhasználók mindenképpen hajlandóak megosztani az adatok nagy részét a Whisper alkalmazáson belül, ami azt jelentette, hogy bár nem kellett volna megtörténnie, az expozíció nem volt olyan hatalmas üzlet. Beszéltek a kiszivárogtatott millió felhasználói bejegyzésről, és azzal érveltek, hogy a szivárgás nem jelentette a felhasználók névtelenségét közvetlen veszélyben. A biztonsági szakértők azonban nem voltak ilyen biztosak.
A szivárgó adatbázis nem tartalmazott nevet, de tartalmazta az egyes felhasználók megadott életkorát, nemét, szülővárosát, becenévét és csoporttagságait. Ha valaki megpróbálta kitalálni a Whisper felhasználó személyét, akkor ezek az adatok jelentősen szűkíthetik a lehetőségeket. Ezt összekapcsolva azzal a ténnyel, hogy az érintett felhasználók utolsó ismert helyét szintén kiderítették, és látni fogja, hogy egy kiszivárgott üzenet valódi személyhez kötése messze lehetetlen. A The Post jelentése után a The Register is kapcsolatba lépett a kutatókkal és rájött, hogy a kitett metaadatok tartománya még nagyobb volt, mint az eredetileg várták. Kiderült, hogy a jelszó-tokeneket szintén felvették az adatbázisba, és a kutatók megerősítették, hogy ezek használatával be tudnak lépni az emberek fiókjába. Hirtelen a probléma sokkal nagyobbnak tűnt, mint amennyit a MediaLab képviselői hinnének. Azoknak, akik figyelmesen követik a Whisper alkalmazás körüli híreket, ez egy kicsit déjà vu pillanat lehet.
Ez nem az első, a biztonsággal kapcsolatos vita Whisper körül
2014-ben a Guardian újságírókat meghívták a Whisper székhelyére, hogy megvitassák a hírportál és a közösségi média alkalmazásának potenciális partnerségét. Mialatt ott voltak, megtudták, hogy a Whispernek vannak olyan mechanizmusai, amelyek nyomon követik az emberek helyzetét, még akkor is, ha a felhasználók kifejezetten kihagyták ezt.
A jelentés megjelenése után a közösségi hálózat képviselői tagadták az állításokat, és nyilvánosan azzal vádolták a brit újságot, hogy hazugságokat publikáltak. Végül az említett képviselőket kirúgták, és a követést nyilvánvalóan leállították.
Jelenleg a MediaLab alkalmazottai megint megpróbálják meggyőzni a közvéleményt, hogy a dolgok nem olyan rosszak, mint ahogyan a hírlevelek azt sugallják, és sajnos el kell mondanunk, hogy nem igazán tettek eleget annak biztosítására, hogy ez több mint pusztán kísérlet hogy aláássák a helyzet súlyosságát.
