Whisper, een app voor sociale media die anonimiteit belooft, beschikt over 900 miljoen gebruikersrecords

Whisper Social Media Exposes User Records

Het verschil tussen Whisper en meer conventionele sociale mediaplatforms zoals Facebook of Twitter is dat u geen persoonlijke informatie hoeft in te voeren om deze te gebruiken. In plaats daarvan kiest u gewoon een gebruikersnaam, geeft u aan hoe oud u bent en kunt u uw gedachten vrijelijk delen. Omdat dit een sociaal netwerk is, krijgen andere mensen ze wel te zien, maar ze hebben geen idee wie ze heeft geschreven.

Whisper heeft 900 miljoen gebruikersrecords achtergelaten in een onbeschermde database

Vanwege de beloofde anonimiteit worden gebruikers aangemoedigd om dingen te plaatsen die ze normaal niet zouden publiceren, en hun wordt verteld dat ze door Whisper te gebruiken hun diepste geheimen delen op 'de veiligste plek op internet'. Het is een gewaagde bewering die enigszins raar klinkt als je bedenkt dat de officiële website van de app standaard via HTTP laadt in plaats van HTTPS. Het wordt nog vreemder als je je realiseert dat dezelfde applicatie een database heeft verlaten met niet minder dan 900 miljoen gebruikersrecords die zijn blootgesteld aan internet.

De ontdekking werd vorige week gedaan door onderzoekers van Twelve Security. Het 5TB Elasticsearch-cluster was toegankelijk voor iedereen die met internet was verbonden, het was niet beveiligd met een wachtwoord en een deel van de informatie die erin was opgenomen, dateerde uit de lancering van Whisper in 2012.

Was de gegevensblootstelling zo ernstig?

Kort nadat ze de database hadden ontdekt, namen de experts van Twelve contact op met de FBI en The Washington Post. The Post hielp hen in contact te komen met MediaLab, de ontwikkelaar van de applicatie, en maandag werd de database offline gehaald. Ondanks de relatief snelle reactie, stelde MediaLab dat er niets te bezorgd is over het lek.

Volgens vertegenwoordigers die met The Washington Post spraken, hadden gebruikers vrijwillig besloten om de meeste gegevens toch binnen de Whisper-app te delen, wat betekende dat hoewel het niet de bedoeling was, de blootstelling niet zo'n groot probleem was. Ze hadden het over de miljoenen gebruikersposts die waren gelekt, en hun argument was dat het lek de anonimiteit van gebruikers niet in direct gevaar bracht. De beveiligingsexperts waren daar echter niet zo zeker van.

De lekkende database bevatte geen namen, maar bevatte de aangegeven leeftijd, geslacht, woonplaats, bijnaam en groepslidmaatschappen van individuele gebruikers. Als iemand de identiteit van een Whisper-gebruiker probeerde te achterhalen, hadden die gegevens de mogelijkheden aanzienlijk kunnen verkleinen. Koppel dit aan het feit dat de laatst bekende locatie van de getroffen gebruikers ook werd onthuld, en je zult zien dat het binden van een gelekte post aan een echt individu verre van onmogelijk was. Na het rapport van The Post kwam The Register ook in contact met de onderzoekers en realiseerde zich dat het bereik van blootgestelde metadata zelfs groter was dan aanvankelijk was verwacht. Het bleek dat ook wachtwoordtokens in de database waren opgenomen, en de onderzoekers bevestigden dat ze met deze accounts konden inloggen op de accounts van mensen. Plots leek het probleem veel groter dan de vertegenwoordigers van MediaLab je zouden doen geloven. Voor degenen onder u die het nieuws rond de Whisper-app nauwlettend volgen, kan dit een beetje een déjà vu-moment zijn.

Dit is niet de eerste veiligheidsgerelateerde controverse rond Whisper

In 2014 werden Guardian- verslaggevers uitgenodigd op het hoofdkantoor van Whisper om een mogelijke samenwerking tussen de nieuwsuitzending en de toepassing voor sociale media te bespreken. Terwijl ze daar waren, ontdekten ze dat Whisper mechanismen had die de locatie van mensen zouden volgen, zelfs als de gebruikers zich hier expliciet voor hadden afgemeld.

Nadat het rapport uitkwam, ontkenden vertegenwoordigers van het sociale netwerk alle beschuldigingen en beschuldigden de Britse krant publiekelijk van leugens. Uiteindelijk werden de genoemde vertegenwoordigers ontslagen en werd het volgen blijkbaar gestopt.

Op dit moment proberen de medewerkers van MediaLab opnieuw het publiek te overtuigen dat de zaken niet zo slecht zijn als de nieuwsberichten suggereren, en helaas moeten we zeggen dat ze niet echt genoeg hebben gedaan om ons te verzekeren dat dit meer is dan alleen een poging om de ernst van de situatie te bagatelliseren.

Tegen Duran
March 13, 2020
News
Nederlands
March 13, 2020
News

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.