據(jù)外媒TechCrunch報(bào)道，True自稱(chēng)是一款能夠“保護(hù)你的隱私”的社交網(wǎng)絡(luò)應(yīng)用。但由于安全漏洞，該公司的一臺(tái)服務(wù)器卻曝光了用戶(hù)私人數(shù)據(jù)。這款應(yīng)用于2017年由Hello Mobile推出，Hello Mobile是一家虛擬手機(jī)運(yùn)營(yíng)商，依附于T-Mobile的網(wǎng)絡(luò)。

True官方網(wǎng)站介紹稱(chēng)，公司已經(jīng)籌集到1400萬(wàn)美元的種子基金并稱(chēng)在推出后不久就擁有超50萬(wàn)名的用戶(hù)。

但該應(yīng)用的一個(gè)數(shù)據(jù)庫(kù)的控制面板在沒(méi)有密碼的情況下被暴露在網(wǎng)上，其允許任何人閱讀、瀏覽和搜索該數(shù)據(jù)庫(kù)--其中包括私人用戶(hù)數(shù)據(jù)。

迪拜網(wǎng)絡(luò)安全公司SpiderSilk的首席安全長(zhǎng)Mossab Hussein發(fā)現(xiàn)了這個(gè)被暴露的控制面板并向TechCrunch提供了詳細(xì)信息。來(lái)自搜索引擎BinaryEdge提供的數(shù)據(jù)顯示，該曝光早在9月初就已經(jīng)發(fā)生。

在TechCrunch聯(lián)系True之后，這家公司對(duì)控制面板進(jìn)行了離線(xiàn)處理。

True CEO Bret Cox雖然向Techcrunch證實(shí)了安全漏洞的存在，但并沒(méi)有回答他們提出的具體問(wèn)題，包括該公司是否計(jì)劃通知用戶(hù)存在安全漏洞或否計(jì)劃根據(jù)州數(shù)據(jù)泄露通知法向監(jiān)管機(jī)構(gòu)披露該事件。

據(jù)了解，控制面板包含了從今年2月開(kāi)始的每日服務(wù)器日志，像用戶(hù)注冊(cè)的電子郵件地址或電話(huà)號(hào)碼、用戶(hù)之間的私人帖子和消息內(nèi)容以及用戶(hù)最后已知的地理位置--這些地理位置則可以識(shí)別用戶(hù)過(guò)去或曾經(jīng)的位置。另外，控制面板還會(huì)暴露用戶(hù)上傳的電子郵件和電話(huà)聯(lián)系方式，True會(huì)在應(yīng)用中使用這些信息來(lái)匹配已知的朋友。并且這些數(shù)據(jù)都沒(méi)有進(jìn)行加密處理。

TechCrunch通過(guò)創(chuàng)建一個(gè)測(cè)試賬號(hào)并要求Hussein提供只有他們自己知道的數(shù)據(jù)如注冊(cè)賬號(hào)時(shí)使用的電話(huà)號(hào)碼確認(rèn)了這一情況。

Hussein指出，控制面板還對(duì)外泄露了賬號(hào)訪問(wèn)令牌，這些令牌可以用來(lái)入侵和劫持任何用戶(hù)的賬號(hào)。雖然這些賬號(hào)訪問(wèn)令牌看起來(lái)像一行隨機(jī)的字母和數(shù)字，但用戶(hù)無(wú)需每次輸入就可以登錄到應(yīng)用中。Hussein就使用TechCrunch的測(cè)試帳號(hào)在控制面板中找到了后者的訪問(wèn)令牌，并使用它訪問(wèn)其帳號(hào)并在上面發(fā)布消息。

此外，控制面板還顯示了一次性登錄代碼，True會(huì)將這些代碼發(fā)送到與賬號(hào)關(guān)聯(lián)的電子郵件地址或電話(huà)號(hào)碼，而不是存儲(chǔ)密碼。

True表示，在刪除賬號(hào)后與其有關(guān)的所有內(nèi)容都會(huì)從該公司的服務(wù)器被清除。然而TechCrunch經(jīng)過(guò)測(cè)試發(fā)現(xiàn)事實(shí)并非如此，他們?nèi)钥梢栽诳刂泼姘迳纤阉鞯狡渌饺诵畔?、帖子和照片等?/p>

目前，TechCrunch無(wú)法聯(lián)系到Hello Mobile的發(fā)言人。