Whisper,一個承諾匿名的社交媒體應用程序,暴露了9億用戶記錄
Whisper與更傳統的社交媒體平台(如Facebook或Twitter)之間的區別在於,您無需輸入任何個人信息即可使用它。相反,您只需選擇一個用戶名,說明您的年齡,就可以自由分享您的想法。這是一個社交網絡,其他人可以看到他們,但他們不知道是誰寫的。
Table of Contents
Whisper在不受保護的數據庫中留下了9億條用戶記錄
由於承諾匿名,因此鼓勵用戶發布通常避免公開的內容,並告知他們通過使用Whisper,他們可以在“互聯網上最安全的地方”分享他們的最深奧秘訣。當您認為應用程序的官方網站默認通過HTTP而非HTTPS加載時,這是一個大膽的說法,聽起來有些奇怪。當您意識到同一應用程序離開數據庫時,暴露給互聯網的用戶記錄不少於9億個,這讓事情變得更加奇怪。
這項發現是上週由十二安全組織的研究人員做出的。 5TB Elasticsearch群集可供連接到互聯網的任何人訪問,不受密碼保護,並且其中包含的某些信息可以追溯到Whisper在2012年推出。
數據洩露嚴重嗎?
發現數據庫後不久,十二名專家聯繫了聯邦調查局和《華盛頓郵報》。該帖子幫助他們與該應用程序的開發人員MediaLab取得聯繫,並在星期一使數據庫脫機。儘管反應比較快,但MediaLab認為,不必擔心洩漏。
根據接受《華盛頓郵報》採訪的代表的說法,用戶無論如何都願意決定在Whisper應用程序中共享大多數數據,這意味著儘管這不應該發生,但曝光並不算多。他們談論的是數以百萬計的用戶帖子被洩漏,他們的論點是洩漏不會使用戶的匿名性立即面臨任何危險。但是,安全專家並不確定。
洩漏的數據庫沒有任何名稱,但是包含了各個用戶的年齡,性別,家鄉,暱稱和組成員身份。如果有人試圖弄清楚Whisper用戶的身份,則該數據可能會大大縮小可能性。與此相結合的是,還揭示了受影響用戶的最後一個已知位置,您會發現將洩漏的帖子與真實的人聯繫起來絕非不可能。在The Post的報告發布之後, The Register也與研究人員取得了聯繫,並意識到暴露的元數據的範圍甚至比最初預期的還要大。事實證明,密碼令牌也包含在數據庫中,研究人員證實,使用密碼令牌可以登錄人們的帳戶。突然,問題似乎比您認為MediaLab的代表要大得多。對於那些密切關注Whisper應用程序新聞的人來說,這可能是個déjàvu時刻。
這不是有關Whisper的第一個與安全相關的爭議
早在2014年,《 衛報》的記者就被邀請到Whisper總部,討論新聞媒體與社交媒體應用程序之間的潛在合作夥伴關係。當他們在那裡的時候,他們了解到Whisper擁有可以跟踪人們位置的機制,即使用戶明確選擇退出該機制也是如此。
報告發布後,該社交網絡的代表否認了所有指控,並公開指責英國報紙發表謊言。最終,上述代表被解僱,跟踪顯然已停止。
現在,MediaLab員工再次試圖說服公眾,事情並沒有新聞報導所暗示的那麼糟糕,不幸的是,我們不得不說,他們並沒有真正做到向我們保證這不僅僅是一次嘗試。淡化局勢的嚴重性。