全球過億資料外洩!大陸軟件 Boomoji 數據庫不設防如無掩雞籠   

虎仔 / 馬日山 2018-12-14 09:17 | 網絡消息
如果你曾經在 Android 手機或 iPhone 安裝過製作個人卡通頭像的軟件 Boomoji,你的個人資料可能已經被外洩。網站 TechCrunch 報導指這個由大陸開發商製作的軟件,竟然沒有為兩個 ElasticSearch 數據庫加上密碼,任何知道數據庫路徑的網民都可以透過瀏覽器,取用、修改或刪除數據庫的內容。

1214-1aFB.jpg

報導指 Boomoji 的數據庫分別放在香港和美國,前者儲存大陸用戶的數據,後者則為其他國家的用戶而設。由於數據庫的位置刊登在 Shodan,一個專為連線裝置而設的搜尋器,網民只需輸入幾個關鍵字,就能夠輕易找到 Boomoji 沒有作任何密碼保護,亦沒有加密的純文字數據庫。TechCrunch 發現事件並向 Boomoji 查詢,對方才將兩個數據庫離線,一名沒有署名的發言人回應指數據庫僅作測試用途。

1214-1a.jpg

TechCrunch 指對方講大話,因為數據庫內藏用戶的 Boomoji 登入名稱、用戶的學校名稱、37.5 萬名用戶的準確地理位置,更嚴重的是包括用戶的電話簿資料。其中一個列表就包含了超過 1.25 億個聯絡人資料,包括姓名和電話號碼。這些資料全部都跟獨有的 Boomoji ID 連接,令有心人更容易知道資料的出處。今次事件非常嚴重,因為就算網友沒有使用 Boomoji,只要任何親友或工作夥伴使用,你的資料都有機會因此外洩,而 Boomoji 一直沒有提供任何機制,讓用戶刪除曾經提交的資料。

1214-1c.jpg

TechCrunch 在發現事件後親自測試,以太空卡號碼登記使用 Boomoji 服務,並且在 iPhone 內預設一些虛假的聯絡人號碼,當軟件獲得取用通訊錄權限後,所有電話簿的資料馬上被上傳,而且可以在網上數據庫內搜尋得到。明顯地今次資料外洩事件已經觸犯了歐美的私隱保障條例,包括歐盟的 GDPR,TechCrunch 向 Boomoji 查詢是否打算主動向歐美相關機構交代事件,但對方拒絕回覆。



資料來源:techcrunch
 

最新新聞