Whisper, en app för sociala medier som lovar anonymitet, avslöjar 900 miljoner användarposter
Skillnaden mellan Whisper och mer konventionella sociala medieplattformar som Facebook eller Twitter är att du inte behöver ange någon personlig information för att använda den. Istället väljer du bara ett användarnamn, anger vilken ålder du är och du kan fritt dela dina tankar. Detta är ett socialt nätverk, andra människor får se dem, men de har ingen aning om vem som skrev dem.
Table of Contents
Whisper lämnade 900 miljoner användarposter i en oskyddad databas
På grund av den utlovade anonymiteten uppmuntras användarna att publicera saker de normalt skulle undvika att publicera, och de får höra att de använder Whisper och delar sina djupaste hemligheter om "den säkraste platsen på internet." Det är ett djärvt påstående som låter något konstigt när du tänker på att appens officiella webbplats laddas över HTTP snarare än HTTPS som standard. Det blir ännu mer skrämmande när du inser att samma applikation lämnade en databas med inte mindre än 900 miljoner användarposter exponerade för internet.
Upptäckten gjordes förra veckan av forskare från Twelve Security. 5TB Elasticsearch-klustret var tillgängligt för alla som är anslutna till internet, det var inte skyddat med ett lösenord, och en del av informationen i den daterades tillbaka till Whispers lansering 2012.
Var exponeringen så allvarlig?
Strax efter att ha upptäckt databasen kontaktade Tolvs experter FBI och The Washington Post. Posten hjälpte dem att komma i kontakt med MediaLab, programmets utvecklare, och på måndag togs databasen offline. Trots den relativt snabba reaktionen hävdade MediaLab att det inte finns något som oroar sig för läckan.
Enligt representanter som pratade med The Washington Post hade användare villigt beslutat att dela det mesta av uppgifterna i Whisper-appen ändå, vilket innebar att även om det inte var tänkt att hända, så var exponeringen inte så stor. De pratade om de miljoner användare som läckte ut och deras argument var att läckan inte sätter användarnas anonymitet i någon omedelbar fara. Säkerhetsexperterna var dock inte så säkra.
Den läckande databasen innehöll inga namn, men den innehöll enskilda användares angivna ålder, kön, hemstad, smeknamn och gruppmedlemskap. Om någon försökte ta reda på identiteten för en Whisper-användare, kunde data ha minskat möjligheterna avsevärt. Koppla ihop detta med det faktum att den senaste kända platsen för de drabbade användarna också avslöjades, och du kommer att se att knyta ett läckt inlägg till en riktig person var långt ifrån omöjligt. Efter Postens rapport kom registeret också i kontakt med forskarna och insåg att utbudet av exponerade metadata var ännu större än ursprungligen förväntat. Det visar sig att lösenordstecken också inkluderades i databasen, och forskarna bekräftade att de kunde logga in på människors konton genom att använda dem. Plötsligt verkade problemet mycket större än MediaLabs representanter skulle du tro. För er som följer nyheterna kring Whisper-appen kan detta vara lite av ett déjà vu-ögonblick.
Detta är inte den första säkerhetsrelaterade kontroversen kring Whisper
Tillbaka i 2014 bjöd Guardian- reportrar till Whispers högkvarter för att diskutera ett potentiellt partnerskap mellan nyhetsuttaget och applikationen på sociala medier. Medan de var där fick de veta att Whisper hade mekanismer på plats som skulle spåra människors plats, även när användarna uttryckligen hade valt bort detta.
Efter att rapporten kom ut, förnekade företrädare för det sociala nätverket alla anklagelser och anklagade den brittiska tidningen offentligt för att ha publicerat lögner. Så småningom avskedades de nämnda representanterna, och spårningen stoppades uppenbarligen.
Just nu försöker MediaLab-anställda återigen övertyga allmänheten om att saker och ting inte är så illa som nyhetsrapporterna antyder, och tyvärr måste vi säga att de inte riktigt har gjort nog för att försäkra oss om att detta är mer än bara ett försök för att minska situationens allvar.
