Whisper, un'app di social media che promette l'anonimato, espone 900 milioni di record utente
La differenza tra Whisper e le piattaforme di social media più convenzionali come Facebook o Twitter è che non è necessario inserire alcuna informazione personale per utilizzarle. Invece, devi solo scegliere un nome utente, indicare l'età in cui ti trovi e puoi condividere liberamente i tuoi pensieri. Essendo un social network, altre persone riescono a vederli, ma non hanno idea di chi li abbia scritti.
Table of Contents
Whisper ha lasciato 900 milioni di record utente in un database non protetto
A causa del promesso anonimato, gli utenti sono incoraggiati a pubblicare cose che normalmente eviterebbero di pubblicizzare e gli viene detto che usando Whisper condividono i loro segreti più profondi sul "luogo più sicuro su Internet". È un'affermazione audace che suona un po 'strano se si considera che il sito Web ufficiale dell'app viene caricato su HTTP anziché HTTPS per impostazione predefinita. Diventa ancora più strano quando ti rendi conto che la stessa applicazione ha lasciato un database con non meno di 900 milioni di record utente esposti a Internet.
La scoperta è stata fatta la scorsa settimana da ricercatori di Twelve Security. Il cluster Elasticsearch da 5 TB era accessibile a chiunque fosse connesso a Internet, non era protetto da password e alcune delle informazioni in essa contenute risalivano al lancio di Whisper nel 2012.
L'esposizione dei dati è stata così grave?
Poco dopo aver scoperto il database, dodici esperti hanno contattato l'FBI e il Washington Post. The Post li ha aiutati a mettersi in contatto con MediaLab, lo sviluppatore dell'applicazione, e lunedì il database è stato portato offline. Nonostante la reazione relativamente rapida, MediaLab ha sostenuto che non c'è nulla di troppo preoccupante per la perdita.
Secondo i rappresentanti che hanno parlato con il Washington Post, gli utenti avevano deciso volentieri di condividere la maggior parte dei dati all'interno dell'app Whisper, il che significava che, sebbene non si supponesse che accadesse, l'esposizione non era un grosso problema. Stavano parlando dei milioni di post degli utenti trapelati e il loro argomento era che la fuga non metteva l'anonimato degli utenti in alcun pericolo immediato. Gli esperti di sicurezza, tuttavia, non erano così sicuri.
Il database che perdeva non conteneva alcun nome, ma conteneva l'età, il sesso, la città natale, il nickname e le appartenenze al gruppo dei singoli utenti. Se qualcuno stesse cercando di capire l'identità di un utente Whisper, quei dati avrebbero potuto restringere significativamente le possibilità. Abbinalo al fatto che è stata rivelata anche l'ultima posizione nota degli utenti interessati e vedrai che legare un post trapelato a un individuo reale era tutt'altro che impossibile. Dopo il rapporto di The Post, The Register ha anche contattato i ricercatori e si è reso conto che la gamma di metadati esposti era persino maggiore di quanto inizialmente previsto. Si scopre che anche i token password sono stati inclusi nel database e i ricercatori hanno confermato che utilizzandoli potevano accedere agli account delle persone. Improvvisamente, il problema sembrava molto più grande di quanto i rappresentanti di MediaLab vorrebbero farti credere. Per quelli di voi che seguono da vicino le notizie sull'app Whisper, questo potrebbe essere un po 'un momento di déjà vu.
Questa non è la prima controversia relativa alla sicurezza di Whisper
Nel 2014, i reporter di Guardian sono stati invitati al quartier generale di Whisper per discutere di una potenziale partnership tra il punto vendita e l'applicazione dei social media. Mentre erano lì, hanno appreso che Whisper aveva messo in atto meccanismi per tracciare la posizione delle persone, anche quando gli utenti avevano esplicitamente rinunciato a questo.
Dopo la pubblicazione del rapporto, i rappresentanti del social network hanno negato tutte le accuse e accusato pubblicamente il giornale britannico di bugie editoriali. Alla fine, i suddetti rappresentanti sono stati licenziati e il tracciamento è stato apparentemente fermato.
In questo momento, i dipendenti di MediaLab stanno ancora una volta cercando di convincere il pubblico che le cose non vanno male come suggeriscono le notizie e, sfortunatamente, dobbiamo dire che non hanno fatto abbastanza per assicurarci che questo è più di un semplice tentativo minimizzare la gravità della situazione.
