主題:全球過億資料外洩!大陸軟件 Boomoji 數據庫不設防如無掩雞籠   

    • 虎仔 All for each and each for all
    • 帳號:
    • 發文:11934
    • 經驗:22205
    發表時間:2018-12-14 09:17 收錄檢舉
    如果你曾經在 Android 手機或 iPhone 安裝過製作個人卡通頭像的軟件 Boomoji,你的個人資料可能已經被外洩。網站 TechCrunch 報導指這個由大陸開發商製作的軟件,竟然沒有為兩個 ElasticSearch 數據庫加上密碼,任何知道數據庫路徑的網民都可以透過瀏覽器,取用、修改或刪除數據庫的內容。

    全球過億人資料外洩!大陸軟件 Boomoji 數據庫不設防如無掩雞籠   

    報導指 Boomoji 的數據庫分別放在香港和美國,前者儲存大陸用戶的數據,後者則為其他國家的用戶而設。由於數據庫的位置刊登在 Shodan,一個專為連線裝置而設的搜尋器,網民只需輸入幾個關鍵字,就能夠輕易找到 Boomoji 沒有作任何密碼保護,亦沒有加密的純文字數據庫。TechCrunch 發現事件並向 Boomoji 查詢,對方才將兩個數據庫離線,一名沒有署名的發言人回應指數據庫僅作測試用途。

    全球過億人資料外洩!大陸軟件 Boomoji 數據庫不設防如無掩雞籠   

    TechCrunch 指對方講大話,因為數據庫內藏用戶的 Boomoji 登入名稱、用戶的學校名稱、37.5 萬名用戶的準確地理位置,更嚴重的是包括用戶的電話簿資料。其中一個列表就包含了超過 1.25 億個聯絡人資料,包括姓名和電話號碼。這些資料全部都跟獨有的 Boomoji ID 連接,令有心人更容易知道資料的出處。今次事件非常嚴重,因為就算網友沒有使用 Boomoji,只要任何親友或工作夥伴使用,你的資料都有機會因此外洩,而 Boomoji 一直沒有提供任何機制,讓用戶刪除曾經提交的資料。

    全球過億人資料外洩!大陸軟件 Boomoji 數據庫不設防如無掩雞籠   

    TechCrunch 在發現事件後親自測試,以太空卡號碼登記使用 Boomoji 服務,並且在 iPhone 內預設一些虛假的聯絡人號碼,當軟件獲得取用通訊錄權限後,所有電話簿的資料馬上被上傳,而且可以在網上數據庫內搜尋得到。明顯地今次資料外洩事件已經觸犯了歐美的私隱保障條例,包括歐盟的 GDPR,TechCrunch 向 Boomoji 查詢是否打算主動向歐美相關機構交代事件,但對方拒絕回覆。



    資料來源:techcrunch
     

    立即加入Facebook 專頁,新聞/消息/優惠,最快知。

    01樓 ▲TOP 回列表頁