Whisper, aplikacja społecznościowa, która obiecuje anonimowość, ujawnia 900 milionów rekordów użytkowników
Różnica między Whisper a bardziej konwencjonalnymi platformami społecznościowymi, takimi jak Facebook czy Twitter, polega na tym, że nie trzeba wprowadzać żadnych danych osobowych, aby z nich skorzystać. Zamiast tego po prostu wybierasz nazwę użytkownika, określasz swój wiek i możesz swobodnie dzielić się swoimi przemyśleniami. Ponieważ jest to sieć społecznościowa, inni ludzie mogą je zobaczyć, ale nie mają pojęcia, kto je napisał.
Table of Contents
Whisper pozostawił 900 milionów rekordów użytkowników w niezabezpieczonej bazie danych
Z powodu obiecanej anonimowości użytkownicy są zachęcani do publikowania rzeczy, których normalnie unikaliby, i mówiono im, że za pomocą Szeptu dzielą się swoimi najgłębszymi tajemnicami w „najbezpieczniejszym miejscu w Internecie”. To śmiałe stwierdzenie, które brzmi nieco dziwnie, jeśli weźmiesz pod uwagę, że oficjalna strona aplikacji ładuje się domyślnie przez HTTP, a nie HTTPS. Robi się coraz dziwniej, gdy zdajesz sobie sprawę, że ta sama aplikacja opuściła bazę danych z nie mniej niż 900 milionami rekordów użytkowników narażonych na działanie Internetu.
Odkrycia dokonali w zeszłym tygodniu naukowcy z Twelve Security. Klaster 5TB Elasticsearch był dostępny dla każdego, kto ma połączenie z Internetem, nie był chroniony hasłem, a niektóre zawarte w nim informacje pochodzą z uruchomienia Whispera w 2012 roku.
Czy ujawnienie danych było tak poważne?
Krótko po odkryciu bazy danych eksperci Dwunastu skontaktowali się z FBI i The Washington Post. Post pomógł im skontaktować się z MediaLab, deweloperem aplikacji, aw poniedziałek baza danych została przełączona w tryb offline. Pomimo stosunkowo szybkiej reakcji MediaLab argumentował, że wyciek nie jest niczym niepokojącym.
Według przedstawicieli, którzy rozmawiali z The Washington Post, użytkownicy i tak chętnie zdecydowali się udostępnić większość danych w aplikacji Whisper, co oznaczało, że chociaż nie miało to się zdarzyć, ujawnienie nie było tak duże. Mówili o milionach postów użytkownika, które wyciekły, a ich argumentem było to, że wyciek nie naraził anonimowości użytkowników na bezpośrednie niebezpieczeństwo. Eksperci ds. Bezpieczeństwa nie byli jednak tacy pewni.
Nieszczelna baza danych nie zawierała żadnych nazwisk, ale zawierała podany wiek, płeć, miasto rodzinne, pseudonim i członkostwo w grupie. Gdyby ktoś próbował ustalić tożsamość użytkownika Whisper, dane te mogłyby znacznie zawęzić możliwości. Połącz to z faktem, że ujawniono również ostatnią znaną lokalizację dotkniętych użytkowników, a zobaczysz, że powiązanie wyciekłego postu z prawdziwą osobą było dalekie od niemożliwego. Po raporcie The Post rejestr skontaktował się również z badaczami i zdał sobie sprawę, że zasięg ujawnionych metadanych był nawet większy niż początkowo przewidywano. Okazuje się, że tokeny haseł były również zawarte w bazie danych, a badacze potwierdzili, że korzystając z nich, mogą logować się na konta użytkowników. Nagle problem wydawał się znacznie większy, niż mogliby w to uwierzyć przedstawiciele MediaLab. Dla tych z was, którzy śledzą wiadomości wokół aplikacji Whisper, może to być moment déjà vu.
To nie jest pierwsza kontrowersja związana z bezpieczeństwem wokół Whisper
W 2014 roku reporterzy Guardian zostali zaproszeni do siedziby Whispera w celu omówienia potencjalnego partnerstwa między punktem informacyjnym a aplikacją społecznościową. Gdy tam byli, dowiedzieli się, że Whisper ma mechanizmy, które śledzą lokalizację ludzi, nawet gdy użytkownicy wyraźnie zrezygnowali z tego.
Po opublikowaniu raportu przedstawiciele sieci społecznościowej odrzucili wszystkie zarzuty i publicznie oskarżyli brytyjską gazetę o publikowanie kłamstw. W końcu wspomniani przedstawiciele zostali zwolnieni, a śledzenie najwyraźniej zatrzymane.
W tej chwili pracownicy MediaLab po raz kolejny próbują przekonać opinię publiczną, że nie jest tak źle, jak sugerują doniesienia prasowe, i niestety musimy powiedzieć, że tak naprawdę nie zrobili wystarczająco dużo, aby zapewnić nas, że jest to coś więcej niż próba bagatelizować powagę sytuacji.
