据外媒TechCrunch报道,True自称是一款可以“保护你的个人隐私”的社交媒体运用。但因为网络安全问题,该公司的一台网络服务器却曝出了客户个人数据信息。这款运用于2017年由Hello Mobile推出,Hello Mobile是一家虚拟手机营运商,依赖于T-Mobile的互联网。
True官网详细介绍称,企业早已筹措到1400万的种籽股票基金合称在发布后没多久就有着超50数十万的客户。
但该运用的一个数据库系统的操作面板在沒有登陆密码的情形下被曝露在网络上,其容许所有人阅读文章、访问和检索该数据库查询--主要包括个人客户数据信息。
阿联酋迪拜网络信息安全企业SpiderSilk的总裁安全性长Mossab Hussein发觉了这一被泄露的操作面板并向TechCrunch给予了详细资料。来源于搜索引擎BinaryEdge给予的资料显示,该曝出早在9月初就已产生。
在TechCrunch联络True以后,这个公司对操作面板开展了无网解决。
True CEO Bret Cox尽管向Techcrunch确认了网络安全问题的存有,但并没回应她们提到的主要问题,包含该企业是不是方案通告客户存有网络安全问题或否方案依据州数据泄漏通告反向监管部门公布该事情。
据统计,操作面板包括了从2022年2月逐渐的每日网络服务器日志,像新用户注册的电子邮箱地址或联系电话、客户间的个人贴子和信息內容及其客户最终己知的所在位置--这种所在位置则可以辨别客户以往或以前的部位。此外,操作面板还会继续曝露客户发布的邮件和电話联系电话,True会在使用中应用那些信息内容来配对已经知道的好朋友。而且这种数据信息没有开展数据加密解决。
TechCrunch根据建立一个检测账户并规定Hussein给予仅有他们自己了解的数据资料如注册帐号时采用的联系电话确定了这一状况。
Hussein强调,操作面板还对外开放泄漏了账户浏览动态口令,这种动态口令可以用于侵入和挟持一切客户的账户。尽管这种账户浏览动态口令看上去像一行任意的英文字母和数据,但客户不用每一次键入就可以登陆到运用中。Hussein就应用TechCrunch的检测账号在操作面板中找到后面一种的浏览动态口令,并运用它浏览其账号并在上面发布信息。
除此之外,操作面板还表明了一次性登陆编码,True会将这种编码发送至与账户关系的电子邮箱地址或联系电话,而不是储存登陆密码。
True表明,在删掉账户后与其说相关的任何內容都是会从该公司的网络服务器被消除。殊不知TechCrunch通过检测发觉真相并不是这样,她们仍可以在操作面板上搜寻到其个人信息、贴子和相片等。
现阶段,TechCrunch没法联络到Hello Mobile的新闻发言人。