Whisper,一个承诺匿名的社交媒体应用程序,暴露了9亿用户记录
Whisper与更传统的社交媒体平台(如Facebook或Twitter)之间的区别在于,您无需输入任何个人信息即可使用它。相反,您只需选择一个用户名,说明您的年龄,就可以自由分享您的想法。这是一个社交网络,其他人可以看到他们,但他们不知道是谁写的。
Table of Contents
Whisper在不受保护的数据库中留下了9亿条用户记录
由于承诺匿名,因此鼓励用户发布通常避免公开的内容,并告知他们通过使用Whisper,他们可以在“互联网上最安全的地方”分享他们的最深奥秘诀。当您认为应用程序的官方网站默认通过HTTP而非HTTPS加载时,这是一个大胆的说法,听起来有些奇怪。当您意识到同一应用程序离开数据库时,暴露给Internet的用户记录不少于9亿个,这让事情变得更加奇怪。
这项发现是上周由十二安全组织的研究人员做出的。 5TB Elasticsearch群集可供连接到互联网的任何人访问,不受密码保护,并且其中包含的某些信息可以追溯到Whisper在2012年推出。
数据泄露严重吗?
发现数据库后不久,十二名专家联系了联邦调查局和《华盛顿邮报》。该帖子帮助他们与该应用程序的开发人员MediaLab取得联系,并在星期一使数据库脱机。尽管反应比较快,但MediaLab认为,不必担心泄漏。
根据接受《华盛顿邮报》采访的代表的说法,用户无论如何都愿意决定在Whisper应用程序中共享大多数数据,这意味着尽管这不应该发生,但曝光并不算多。他们谈论的是数以百万计的用户帖子被泄露,他们的论点是泄露并没有使用户的匿名性面临任何直接危险。但是,安全专家并不确定。
泄漏的数据库没有任何名称,但是包含了各个用户的年龄,性别,家乡,昵称和组成员身份。如果有人试图弄清楚Whisper用户的身份,则该数据可能会大大缩小可能性。与此相结合的是,还揭示了受影响用户的最后一个已知位置,您将发现将泄漏的帖子与真实个人联系起来绝非不可能。在The Post的报告发布之后, The Register也与研究人员取得了联系,并意识到暴露的元数据的范围甚至比最初预期的还要大。事实证明,密码令牌也包含在数据库中,研究人员证实,使用密码令牌可以登录人们的帐户。突然,问题似乎比您认为MediaLab的代表要大得多。对于那些密切关注Whisper应用程序新闻的人来说,这可能是个déjàvu时刻。
这不是有关Whisper的第一个与安全相关的争议
早在2014年,《 卫报》的记者就被邀请到Whisper总部,讨论新闻媒体与社交媒体应用之间的潜在合作伙伴关系。当他们在那里的时候,他们了解到Whisper拥有可以跟踪人们位置的机制,即使用户明确选择退出该机制也是如此。
报告发布后,该社交网络的代表否认了所有指控,并公开指责英国报纸发表谎言。最终,上述代表被解雇,跟踪显然已停止。
现在,MediaLab员工再次试图说服公众,事情并没有新闻报道所暗示的那么糟糕,不幸的是,我们不得不说,他们并没有真正做到向我们保证这不仅仅是一次尝试。淡化局势的严重性。
