同性恋约会应用程序的制造商在泄露私人照片后被罚款

如果软件开发人员和在线服务提供商未能保护用户数据，他们是否应该对此负责？他们当然应该。这是在现实世界中发生的吗？好吧，在线Buddies，Inc。是Jack'd的制造商，一个主要针对男同性恋和双性恋男子的约会应用程序，现在将被迫支付24万美元给纽约州，因为它的应用程序最终泄露了照片和个人信息它的一些用户。因此，有些供应商为他们的错误买单。但他们付出了合适的价格吗？我们来看看Online Buddies的案例并找出答案。

一种糟糕的不安全设计

安全漏洞根植于约会应用程序的设计中。与其他此类服务一样，Jack'd允许用户在注册帐户后上传照片。有公共和私人照片。公共场所不得包含裸露内容，任何查看用户个人资料的人都可以看到。杰克对私人照片的明确程度没有任何限制。至关重要的是，除非他们与其他杰克用户共享，否则私人照片只能由其所有者访问。至少这是应用程序界面会说的。

安全研究员Oliver Hough在应用程序引擎盖下偷看后发现，公共和私人照片都被发送到同一个Amazon S3存储桶，片刻之后，他意识到有问题的存储桶没有受到任何密码的保护。 。换句话说，Jack'd用户的私人照片不仅可以显示给下载该应用程序的其他人。任何有浏览器并知道在哪里看的人都可以访问它们。可以预见的是，许多私人照片都具有非常亲密的性质，如果他们知道他们将这些照片暴露给整个世界，他们的主人可能会想过上传它们两次。

根据Ars Technica的说法 ，每张照片都收到一个序列号，这使得下载大量照片变得更加容易。 纽约司法部长的新闻稿称，一些个人数据（设备ID，位置和应用程序使用信息）也被泄露，当它首次报告违规行为时，The Register 指出 ，虽然很难将特定照片与实际相关联世界身份，“有教养的猜测”是可能的。

杰克的开发人员把头埋在沙子里并将其保存了近一年

说到The Register，它是第一个报道此问题的在线出版物。在Oliver Hough与之取得联系之后，它在二月份做到了。到那个时候，Hough本人花了大约12个月的时间试图与Online Buddies取得联系并告诉软件供应商发生了什么. 不幸的是，他所有负责任地披露错误并帮助解决问题的尝试都没有成功。

Ars Technica和The Register也试图接触到Jack'd的创造者，但即使他们也没有撬开某些具体信息，比如正在采取什么措施来解决这个问题以及需要多长时间。他们将故事保密了一段时间，希望Online Buddies最终能够采取行动，但最终，The Register决定保守秘密对于照片漏水的毫无防备的用户来说同样危险。无论奇迹与否，在The Register发布消息后的几天内，漏洞被堵塞，数据得到了保障。

这是一个更大的问题。错误配置的云存储是当今数据泄露的最常见原因之一，大小软件供应商都会犯错误。尽管如此，一旦发现问题，快速有效地处理问题至关重要，而且明显的是，网友不会这样做。

考虑到泄露的数据有多敏感，我们将由您决定是否罚款24万美元是否是公平的惩罚。