由于糟糕的数据库管理，Kinomap是泄漏信息的最新应用程序

在冠状病毒大流行中生存以及它被强加给我们的封锁并非易事，但是，每个想开始抱怨它的人都不要忘记它可能会更糟。借助技术，现在可以在我们自己的家中舒适地完成许多以前需要出去的事情。像Kinomap这样的应用程序甚至可以帮助我们保持状态，而无需离开房屋，这在当前情况下尤其重要。

不幸的是，额外的便利带来了自己的一系列问题。网络安全就是其中之一，可悲的是我们对此没有太多考虑。 vpnMentor的研究人员向我们展示了为什么我们应该尝试并更加注意它。

Kinomap在未受保护的数据库中保留了超过4,200万条记录

在Noam Rotem和Ran Locar的带领下，vpnMentor的研究团队提出了一个Web映射项目，该项目可以扫描IP地址块并查找未正确配置的已连接设备。这项研究已经进行了一段时间，并导致发现和修复了许多数据泄漏。前面提到的Kinomap是落入研究人员视野的最新应用程序。

上个月，他们发现了一个40GB的数据库，该数据库不受密码保护。一眼就让研究人员知道他们正在查看Kinomap收集的信息，并且经过仔细检查，他们意识到该信息包含大约4200万用户的个人信息。

尽管他们不确定，但vpnMentor的专家认为这可能是Kinomap的整个用户群。受影响的人遍布世界各地，他们需要格外小心，因为他们的家庭锻炼应用程序暴露了很多有关他们的信息。在泄漏的细节中，研究人员发现：

• 名字
• Kinomap用户名
• 电子邮件地址
• 本国

这些记录还包括有关如何使用该应用程序的遥测信息，以及指向个人帐户的链接。再加上上面的数据，可能使黑客有机会组织一次复杂的网络钓鱼攻击。

在某些记录中，专家发现了API密钥，这使攻击者可以接管整个帐户。

Kinomap的开发人员几乎不是第一个对互联网数据库进行错误配置的人，而且他们可能不会是最后一个。在这种情况下，重要的是要让服务提供商和软件供应商承担自己的错误并尝试向他们学习。但是，负责Kinomap的人采用了不同的方法。

Kinomap不想对配置错误的数据库发表评论

vpnMentor的专家于3月16日首次发现了Kinomap的配置错误的数据库，几天后，他们试图与开发人员联系。在不到两周的时间里没有听到任何消息之后，他们又尝试在3月30日披露该漏洞。研究人员希望确保有人可以解决该问题，这就是为什么他们还通知了国家情报和自由委员会（ CNIL），这是法国（Kinomap开发商所在的国家）的隐私监管机构。 4月12日，数据库终于被删除，研究人员认为这可能是由于CNIL的参与。

当Sophos的Lisa Vaas与Kinomap 联系时，该应用程序的开发人员终于做出了回应。该公司表示，在收到漏洞通知后立即修复了该漏洞，正如您所看到的，与安全专家报告的形成鲜明对比。执行欧盟《通用数据保护条例》（GDPR）的机构应决定Kinomap的创作者的反应是否足够。