钱柜娱乐注册

与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

健康应用PumpUp服务器未设密码 超过600万用户个人信息岌岌可危

发布时间:2018-06-06 来源: 浏览次数:204次

据外媒ZDnet报道,位于加拿大安大略省的PumpUp公司在上周发布声明称,旗下同名社交健康追踪应用无意中暴露了用户的隐私和敏感数据,包括用户之间发送的健康信息和私人消息。


PumpUp公司将自己描述为一个健康与健身社区,由其开发的社交健康追踪应用PumpUp支持AndroidiOS平台,并声称在全球拥有超过600万用户。通过该应用,用户可以分享自拍和健康秘诀、制定和保存定制式锻炼计划以及从健身教练和其他用户那里获取建议。另一方面,它也可以被用来追踪用户活动,如消耗的热量、锻炼时间、锻炼进展等。

以上所有这些数据都被存储在一个核心的后端服务器,并托管在亚马逊的云端。然而,安全研究员Oliver Hough发现,该服务器并没有设置密码,这使得任何人都能够查看都有谁在进行登录、谁在实时发送消息以及消息的内容。

根据PumpUp公司的声明内容来看,该服务器被用于充当消息传递代理,负责将用户请求和私人消息发送给其他PumpUp应用用户。该代理使用了鲜为人知的MQTT协议,通常被开发人员用于物联网设备和手机应用之间的通信。

同时,该协议也是一种低带宽协议,从而能够降低服务器成本和数据开销。但由于它也属于一种临时协议,因此允许任何人都能够查看实时数据流,而不是访问大量的集中式数据存储。这也就是说,每当某个用户向其他用户发送消息时,PumpUp应用都会暴露该用户的个人资料和会话消息内容。

ZDnet指出,暴露的数据主要包括用户的电子邮箱地址、出生日期、性别和用户所在位置的地理信息,以及用户的生物特征、锻炼和活动目标、用户头像,还有用户是否已经被屏蔽、是否对应用进行了评分。此外,该应用还暴露了用户提交的健康信息,如身高、体重、咖啡因和酒精摄入量、吸烟频率、健康问题、药物和受伤处等。

在暴露的数据中还包括一些设备数据,例如iOSAndroid广告标识符、用户的IP地址以及应用的会话令牌,这些令牌可用于访问用户的帐户而无需密码。使用Facebook账户登录的用户同样也会暴露他们的访问令牌,并使他们的Facebook账户处于危险之中。在某些情况下,可能遭到暴露的还包括未文件加密的用户信用卡数据,如卡号、到期日期和信用卡验证值(Card Verification ValueCVV)。

ZDnet表示,他们花了一周多的时间来与PumpUp公司取得联系,但都没有得到PumpUp公司的任何回应。好消息是,该服务器已经在上周早些时候得到了密码保护,但目前并不清楚这台服务器已经暴露了多长时间。

推荐新闻

与隐私纠缠不清的快递,屏蔽用户信息后就真能高枕无忧吗?

2017-10-23

专家在受到广泛使用的Wi-Fi加密协议上发现新的漏洞,黑客可以利用后者监听到任何联网设备的通讯...

2017年国内外网络数据信息安全泄露盘点

2017-12-21

注:本文资料均来自网站摘录 2017年转眼即逝,对于混迹互联网圈子的人来讲,听到最多的无非就是:大数据...

Forrester遭遇黑客入侵,数据防泄密应该这样做

2017-11-07

Forrester遭遇黑客入侵,数据防泄密应该这样做不久之前,知名市场调研公司Forrester遭遇了黑客入侵。可...

男子在大街上捡到一U盘,竟有英国女王在伦敦机场的路线图

2017-11-01

雷锋网消息,据外媒 10 月 30 日报道,一位准备去图书馆的匿名男子,在路过伦敦西区女王公园的人...

有政府网站泄露个人隐私 安徽、云南等多地开始排查

2018-01-05

安徽、云南等地政府发文要求政府网站排查个人隐私信息。排查的重点包含公民身份证号码、居住地址、联系...

Copyright ©2006-2017 厦门天锐科技股份有限公司

返回
顶部