最近網上大家都興玩卡通動態類 Emoji,如果你曾經在Android 手機或 iPhone 手機上安裝一個製作個人卡通頭像的軟件「Boomoji」的話,那你就要擔心自己的個人資料是不是已經遭到了洩露。
根據網站 TechCrunch 的報導,這個「Boomoji」以英文介紹來吸引大家下載的程式,其實是由大陸開發商所製作的軟件。當中被揭發居然沒有進行數據保護,沒有給兩個 ElasticSearch 數據庫加上密碼,導致只要你知道數據庫路徑便可以通過瀏覽器進行數據的取用、修改或刪除數據庫的內容。
目前「Boomoji」的數據庫分別放於香港和美國,香港的數據庫主要用於儲存大陸用戶的數據,美國的數據庫則是為其他國家用戶而設立。但是數據庫的位置被刊登在 Shodan 上,有一個專為連線裝置而設的搜尋器,網友只需要幾個關鍵字就能輕易找到沒有經過加密的純文字數據庫。
相關資料:Android 9.0 新增多達 157 個 Emoji,搶先看!!!
TechCrunch 發現這一個事件後向「Boomoji」進行查詢,隨後對方才將兩個數據庫進行離線處理。根據一位署名發言人的回應,說是測試數據庫用。這個說法遭到了懷疑,因為用戶的 Boomoji 登入名稱、用戶的學校名稱、37.5 萬名用戶的準確地理位置,甚至是電話簿資料都早已遭到了洩露。僅僅其中一個列表就包含了超過 1.25 億個聯絡人的資料。這樣就算你沒有使用 Boomoji ,只要你的朋友、親o人等有使用,你的資料亦也可能被洩露。對此嚴重的問題,Boomoji 並沒有提供任何機制,只是讓用戶選擇刪除曾經提交的資料。
TechCrunch 發現這件事情後進行測試,用太空卡號碼登記使用 Boomoji 服務,然後在手機中記錄了一些虛假聯繫人,當軟件獲得取用通訊錄權限後,這些信息就被上傳了,而且可以在網上數據庫搜索到。這麼嚴重的信息安全問題觸犯了歐美的私隱保障條例,也包括歐盟的 GDPR。TechCrunch 表示,目前 Boomoji 對於此問題不願做出回應。
