Whisper, приложение для социальных сетей, обещающее анонимность, опубликовало 900 миллионов записей пользователей
Разница между Whisper и более распространенными платформами социальных сетей, такими как Facebook или Twitter, заключается в том, что вам не нужно вводить какую-либо личную информацию для ее использования. Вместо этого вы просто выбираете имя пользователя, указываете свой возраст и можете свободно делиться своими мыслями. Поскольку это социальная сеть, другие люди видят их, но они понятия не имеют, кто их написал.
Table of Contents
Whisper оставил 900 миллионов пользовательских записей в незащищенной базе данных
Из-за обещанной анонимности пользователям предлагается публиковать то, что они обычно избегают публиковать, и им говорят, что с помощью Whisper они делятся своими самыми глубокими секретами в «самом безопасном месте в Интернете». Это смелое утверждение звучит несколько странно, если учесть, что официальный сайт приложения загружается по HTTP, а не по HTTPS по умолчанию. Это становится еще более странным, когда вы понимаете, что одно и то же приложение покинуло базу данных с не менее чем 900 миллионами пользовательских записей, выставленных в Интернет.
Открытие было сделано на прошлой неделе исследователями из Twelve Security. Кластер Elasticsearch объемом 5 ТБ был доступен любому, кто подключен к Интернету, он не был защищен паролем, и некоторая информация, содержащаяся в нем, относится к запуску Whisper в 2012 году.
Было ли это серьезным воздействие на данные?
Вскоре после обнаружения базы данных эксперты «Двенадцати» связались с ФБР и The Washington Post. Почта помогла им связаться с MediaLab, разработчиком приложения, и в понедельник база данных была отключена. Несмотря на относительно быструю реакцию, MediaLab утверждал, что ничто не беспокоит утечку.
По словам представителей The Washington Post, пользователи охотно решили поделиться большей частью данных в приложении Whisper, что означало, что, хотя этого и не должно было случиться, разоблачение не было таким уж большим делом. Они говорили о миллионах утечек сообщений пользователей, и их аргумент состоял в том, что утечка не поставила анонимность пользователей в непосредственную угрозу. Эксперты по безопасности, однако, не были так уверены.
В базе данных с утечками не было имен, но в ней содержались данные о возрасте, поле, родном городе, псевдониме и членстве отдельных пользователей. Если кто-то пытается выяснить личность пользователя Whisper, эти данные могут значительно сузить возможности. Сопоставьте это с тем фактом, что также было обнаружено последнее известное местоположение затронутых пользователей, и вы увидите, что привязать просочившийся пост к реальному человеку было далеко не невозможно. После доклада The Post The Register также связался с исследователями и понял, что диапазон раскрываемых метаданных оказался даже больше, чем первоначально предполагалось. Оказывается, токены паролей также были включены в базу данных, и исследователи подтвердили, что, используя их, они могут входить в учетные записи людей. Внезапно проблема показалась гораздо более серьезной, чем могли бы поверить представители MediaLab. Для тех из вас, кто внимательно следит за новостями вокруг приложения Whisper, это может быть моментом дежавю.
Это не первый спор, связанный с безопасностью вокруг Whisper
Еще в 2014 году журналисты Guardian были приглашены в штаб-квартиру Whisper, чтобы обсудить потенциальное партнерство между выпуском новостей и приложением для социальных сетей. Пока они были там, они узнали, что в Whisper есть механизмы, которые будут отслеживать местонахождение людей, даже если пользователи явно отказались от этого.
После выхода отчета представители социальной сети опровергли все обвинения и публично обвинили британскую газету в публикации лжи. В итоге указанные представители были уволены, и слежка была, по-видимому, прекращена.
Прямо сейчас сотрудники MediaLab вновь пытаются убедить публику, что дела обстоят не так плохо, как предполагают новостные сообщения, и, к сожалению, мы должны сказать, что на самом деле они не сделали достаточно, чтобы заверить нас, что это больше, чем просто попытка преуменьшать серьезность ситуации.
