在将包含私人用户数据的服务器留在线后,针对隐私的社交网络True遭受了严重的数据泄露。
该公司成立于2017年,基于对用户隐私的承诺,并承诺永远不会出售或共享用户数据,但安全专家似乎已兑现其承诺。
根据安全公司SpiderSilk的说法,配置错误意味着任何人都可以读取和浏览数据库,该数据库不受密码或任何形式的加密保护。
据说服务器已包含信息,例如用户电子邮件地址,电话号码,私人消息和位置数据,还包含可以用来劫持用户帐户的帐户访问令牌。
真正的数据泄露
SpiderSilk进行的许多测试表明,在线公开的数据可以用来控制帐户并向受害者的提要中发布消息,而且True的数据保留声明可能无法成立。
根据该社交网络的说法,删除帐户“将立即从我们的服务器中删除您的所有内容”,但是与TechCrunch一起进行的测试显示情况并非如此。
删除后,仍可以通过公开的数据库访问附加到虚拟帐户的数据,包括私人消息,帖子和照片。
SpiderSilk的CSO Mossab Hussein倾向于给公司带来疑虑。此类安全事故和数据保留错误很常见,而且常常是无意的。
他说:“这是任何组织都可能发生错误的另一个例子,即使那些以隐私为中心的错误也是如此。”
“它强调了不仅构建安全的应用程序和网站,而且确保在其内部过程中嵌入适当的数据安全措施的重要性。”
真正的首席执行官布雷特·考克斯(Bret Cox)从那以后就承认了这一事件,并将违规的服务器拆除了,但该公司尚未发布正式声明。