Whisper, en sosial medie-app som lover anonymitet, utsetter 900 millioner brukeroppføringer
Forskjellen mellom Whisper og mer konvensjonelle sosiale medieplattformer som Facebook eller Twitter er at du ikke trenger å oppgi noen personlig informasjon for å bruke den. I stedet velger du bare et brukernavn, oppgir hvilken alder du er, og du kan dele tankene dine fritt. Dette er et sosialt nettverk, andre mennesker får se dem, men de aner ikke hvem som har skrevet dem.
Table of Contents
Whisper la igjen 900 millioner brukerposter i en ubeskyttet database
På grunn av den lovede anonymiteten, blir brukerne oppfordret til å legge ut ting de normalt ikke vil offentliggjøre, og de blir fortalt at ved å bruke Whisper, deler de de dypeste hemmelighetene sine på "det tryggeste stedet på internett." Det er en dristig påstand som høres noe rart ut når du vurderer at appens offisielle nettsted lastes over HTTP i stedet for HTTPS som standard. Det blir stille når du innser at den samme applikasjonen etterlot en database med ikke mindre enn 900 millioner brukeroppføringer utsatt for internett.
Funnet ble gjort forrige uke av forskere fra Twelve Security. 5TB Elasticsearch-klyngen var tilgjengelig for alle som er koblet til internett, den var ikke beskyttet med et passord, og noe av informasjonen i den dateres tilbake til Whispers lansering i 2012.
Var dataeksponeringen så alvorlig?
Kort tid etter å ha oppdaget databasen, tok tolv eksperter kontakt med FBI og The Washington Post. Posten hjalp dem med å komme i kontakt med MediaLab, programmets utvikler, og mandag ble databasen tatt uten nett. Til tross for den relativt raske reaksjonen, hevdet MediaLab at det ikke er noe for bekymringsfullt for lekkasjen.
I følge representanter som snakket med The Washington Post, hadde brukere villig bestemt seg for å dele det meste av dataene i Whisper-appen uansett, noe som betydde at selv om det ikke var ment å skje, var eksponeringen ikke så stor. De snakket om millioner av brukerinnlegg som var lekket, og deres argument var at lekkasjen ikke satte brukernes anonymitet i noen umiddelbar fare. Sikkerhetsekspertene var imidlertid ikke så sikre.
Den utette databasen inneholdt ingen navn, men den inneholdt individuelle brukers oppgitte alder, kjønn, hjemby, kallenavn og gruppemedlemskap. Hvis noen prøvde å finne ut identiteten til en Whisper-bruker, kunne data ha begrenset mulighetene betydelig. Sammenlign dette med at den forrige kjente plasseringen av de berørte brukerne også ble avslørt, og du vil se at det var langt fra umulig å knytte et lekket innlegg til et ekte individ. Etter Postens rapport kom The Register også i kontakt med forskerne og innså at utvalget av utsatte metadata var enda større enn først antatt. Det viser seg at passordtegn også var inkludert i databasen, og forskerne bekreftet at de kunne logge seg på folks kontoer ved å bruke dem. Plutselig virket problemet mye større enn representanter for MediaLab ville du tro. For de av dere som følger nyhetene rundt Whisper-appen nøye, kan dette være litt av et déjà vu-øyeblikk.
Dette er ikke den første sikkerhetsrelaterte kontroversen rundt Whisper
Tilbake i 2014 ble Guardian- reportere invitert til Whispers hovedkontor for å diskutere et potensielt partnerskap mellom nyhetsuttaket og applikasjonen på sosiale medier. Mens de var der, fikk de vite at Whisper hadde mekanismer på plass som kunne spore folks beliggenhet, selv når brukerne eksplisitt hadde valgt bort dette.
Etter at rapporten kom ut, nektet representanter for det sosiale nettverket alle påstander og anklaget den britiske avisen offentlig for å ha publisert løgner. Etter hvert fikk de nevnte representantene sparken, og sporingen ble tilsynelatende stoppet.
Akkurat nå prøver medarbeiderne i MediaLab nok en gang å overbevise publikum om at ting ikke er så ille som nyhetsmeldingene antyder, og dessverre må vi si at de ikke virkelig har gjort nok for å forsikre oss om at dette er mer enn bare et forsøk for å bagatellisere alvoret i situasjonen.
