同性戀約會應用程序的製造商在洩露私人照片後被罰款

如果軟件開發人員和在線服務提供商未能保護用戶數據，他們是否應該對此負責？他們當然應該。這是在現實世界中發生的嗎？好吧，在線Buddies，Inc。是Jack'd的製造商，一個主要針對男同性戀和雙性戀男子的約會應用程序，現在將被迫支付24萬美元給紐約州，因為它的應用程序最終洩露了照片和個人信息它的一些用戶。因此，有些供應商為他們的錯誤買單。但他們付出了合適的價格嗎？我們來看看Online Buddies的案例並找出答案。

一種糟糕的不安全設計

安全漏洞根植於約會應用程序的設計中。與其他此類服務一樣，Jack'd允許用戶在註冊帳戶後上傳照片。有公共和私人照片。公共場所不得包含裸露內容，任何查看用戶個人資料的人都可以看到。傑克對私人照片的明確程度沒有任何限制。至關重要的是，除非他們與其他傑克用戶共享，否則私人照片只能由其所有者訪問。至少這是應用程序界面會說的。

安全研究員Oliver Hough在應用程序引擎蓋下偷看後發現，公共和私人照片都被發送到同一個Amazon S3存儲桶，片刻之後，他意識到有問題的存儲桶沒有受到任何密碼的保護。 。換句話說，Jack'd用戶的私人照片不僅可以顯示給下載該應用程序的其他人。任何有瀏覽器並知道在哪裡看的人都可以訪問它們。可以預見的是，許多私人照片都具有非常親密的性質，如果他們知道他們將這些照片暴露給整個世界，他們的主人可能會想過上傳它們兩次。

根據Ars Technica的說法 ，每張照片都收到一個序列號，這使得下載大量照片變得更加容易。 紐約司法部長的新聞稿稱，一些個人數據（設備ID，位置和應用程序使用信息）也被洩露，當它首次報告違規行為時，The Register 指出 ，雖然很難將特定照片與實際相關聯世界身份，“有教養的猜測”是可能的。

傑克的開發人員把頭埋在沙子裡並將其保存了近一年

說到The Register，它是第一個報導此問題的在線出版物。在Oliver Hough與之取得聯繫之後，它在二月份做到了。到那個時候，Hough本人花了大約12個月的時間試圖與Online Buddies取得聯繫並告訴軟件供應商發生了什麼. 不幸的是，他所有負責任地披露錯誤並幫助解決問題的嘗試都沒有成功。

Ars Technica和The Register也試圖接觸到Jack'd的創造者，但即使他們也沒有撬開某些具體信息，比如正在採取什麼措施來解決這個問題以及需要多長時間。他們將故事保密了一段時間，希望Online Buddies最終能夠採取行動，但最後，The Register決定保守秘密對於照片漏水的毫無防備的用戶來說同樣危險。無論奇蹟與否，在The Register發布消息後的幾天內，漏洞被堵塞，數據得到了保障。

這是一個更大的問題。錯誤配置的雲存儲是當今數據洩露的最常見原因之一，大小軟件供應商都會犯錯誤。儘管如此，一旦發現問題，快速有效地處理問題至關重要，而且明顯的是，網友不會這樣做。

考慮到洩露的數據有多敏感，我們將由您決定是否罰款24萬美元是否是公平的懲罰。