钱柜娱乐注册

与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

健康应用PumpUp服务器未设密码 超过600万用户个人信息岌岌可危

发布时间:2018-06-06 来源: 浏览次数:1140次

据外媒ZDnet报道,位于加拿大安大略省的PumpUp公司在上周发布声明称,旗下同名社交健康追踪应用无意中暴露了用户的隐私和敏感数据,包括用户之间发送的健康信息和私人消息。


PumpUp公司将自己描述为一个健康与健身社区,由其开发的社交健康追踪应用PumpUp支持AndroidiOS平台,并声称在全球拥有超过600万用户。通过该应用,用户可以分享自拍和健康秘诀、制定和保存定制式锻炼计划以及从健身教练和其他用户那里获取建议。另一方面,它也可以被用来追踪用户活动,如消耗的热量、锻炼时间、锻炼进展等。

以上所有这些数据都被存储在一个核心的后端服务器,并托管在亚马逊的云端。然而,安全研究员Oliver Hough发现,该服务器并没有设置密码,这使得任何人都能够查看都有谁在进行登录、谁在实时发送消息以及消息的内容。

根据PumpUp公司的声明内容来看,该服务器被用于充当消息传递代理,负责将用户请求和私人消息发送给其他PumpUp应用用户。该代理使用了鲜为人知的MQTT协议,通常被开发人员用于物联网设备和手机应用之间的通信。

同时,该协议也是一种低带宽协议,从而能够降低服务器成本和数据开销。但由于它也属于一种临时协议,因此允许任何人都能够查看实时数据流,而不是访问大量的集中式数据存储。这也就是说,每当某个用户向其他用户发送消息时,PumpUp应用都会暴露该用户的个人资料和会话消息内容。

ZDnet指出,暴露的数据主要包括用户的电子邮箱地址、出生日期、性别和用户所在位置的地理信息,以及用户的生物特征、锻炼和活动目标、用户头像,还有用户是否已经被屏蔽、是否对应用进行了评分。此外,该应用还暴露了用户提交的健康信息,如身高、体重、咖啡因和酒精摄入量、吸烟频率、健康问题、药物和受伤处等。

在暴露的数据中还包括一些设备数据,例如iOSAndroid广告标识符、用户的IP地址以及应用的会话令牌,这些令牌可用于访问用户的帐户而无需密码。使用Facebook账户登录的用户同样也会暴露他们的访问令牌,并使他们的Facebook账户处于危险之中。在某些情况下,可能遭到暴露的还包括未文件加密的用户信用卡数据,如卡号、到期日期和信用卡验证值(Card Verification ValueCVV)。

ZDnet表示,他们花了一周多的时间来与PumpUp公司取得联系,但都没有得到PumpUp公司的任何回应。好消息是,该服务器已经在上周早些时候得到了密码保护,但目前并不清楚这台服务器已经暴露了多长时间。

推荐新闻

AWS存储桶泄露50.4 GB数据,金融巨头受影响

2018-03-12

云安全厂商 UpGuard 公司网络风险小组发现一批由于 Amazon Web Services(简称AWS)S3...

老干妈重大商业机密遭窃取 嫌疑人系离职人员已被刑拘

2017-05-09

原标题:贵阳南明警方破获一起涉嫌泄露“老干妈”商业机密案   记者8日从贵阳...

网络间谍组织Tick通过U盘感染未联网计算机

2018-06-26

Tick是主要针对日本和韩国组织的网络间谍活动组织。该组织以用各种定制恶意软件进行...

PayPal子公司TIO Networks被曝数据泄露,约160万名用户受害

2017-12-05

经证实,PayPal的一家加拿大子公司TIO Networks曝出严重安全漏洞,攻击者入侵了存储重...

4800万个人数据泄露:这家公司“白忙活”

2018-05-14

网络安全公司 UpGuard发布报告指出,美国数据技术公司 LocalBlox 收集社交网站的用户数据,分析后进行...

Copyright ©2006-2017 厦门天锐科技股份有限公司

返回
顶部