Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

健康应用PumpUp服务器未设密码 超过600万用户个人信息岌岌可危

Release time:2018-06-06 source: Browse times:2242

据外媒ZDnet报道,位于加拿大安大略省的PumpUp公司在上周发布声明称,旗下同名社交健康追踪应用无意中暴露了用户的隐私和敏感数据,包括用户之间发送的健康信息和私人消息。


PumpUp公司将自己描述为一个健康与健身社区,由其开发的社交健康追踪应用PumpUp支持AndroidiOS平台,并声称在全球拥有超过600万用户。通过该应用,用户可以分享自拍和健康秘诀、制定和保存定制式锻炼计划以及从健身教练和其他用户那里获取建议。另一方面,它也可以被用来追踪用户活动,如消耗的热量、锻炼时间、锻炼进展等。

以上所有这些数据都被存储在一个核心的后端服务器,并托管在亚马逊的云端。然而,安全研究员Oliver Hough发现,该服务器并没有设置密码,这使得任何人都能够查看都有谁在进行登录、谁在实时发送消息以及消息的内容。

根据PumpUp公司的声明内容来看,该服务器被用于充当消息传递代理,负责将用户请求和私人消息发送给其他PumpUp应用用户。该代理使用了鲜为人知的MQTT协议,通常被开发人员用于物联网设备和手机应用之间的通信。

同时,该协议也是一种低带宽协议,从而能够降低服务器成本和数据开销。但由于它也属于一种临时协议,因此允许任何人都能够查看实时数据流,而不是访问大量的集中式数据存储。这也就是说,每当某个用户向其他用户发送消息时,PumpUp应用都会暴露该用户的个人资料和会话消息内容。

ZDnet指出,暴露的数据主要包括用户的电子邮箱地址、出生日期、性别和用户所在位置的地理信息,以及用户的生物特征、锻炼和活动目标、用户头像,还有用户是否已经被屏蔽、是否对应用进行了评分。此外,该应用还暴露了用户提交的健康信息,如身高、体重、咖啡因和酒精摄入量、吸烟频率、健康问题、药物和受伤处等。

在暴露的数据中还包括一些设备数据,例如iOSAndroid广告标识符、用户的IP地址以及应用的会话令牌,这些令牌可用于访问用户的帐户而无需密码。使用Facebook账户登录的用户同样也会暴露他们的访问令牌,并使他们的Facebook账户处于危险之中。在某些情况下,可能遭到暴露的还包括未文件加密的用户信用卡数据,如卡号、到期日期和信用卡验证值(Card Verification ValueCVV)。

ZDnet表示,他们花了一周多的时间来与PumpUp公司取得联系,但都没有得到PumpUp公司的任何回应。好消息是,该服务器已经在上周早些时候得到了密码保护,但目前并不清楚这台服务器已经暴露了多长时间。

Recommended news

俄罗斯黑市3000多个网站访问权被出售

2018-09-21

Flashpoint的研究人员发布的一份新报告显示,在俄罗斯的黑市上可以访问超过3,000个遭受...

iPhone X的Face ID技术被成功绕过

2017-11-15

就在11月3日苹果发布全新iPhone X之后的一个星期,一黑客团体声称已经用低于150美元的面...

美国土安全部超过24万员工的个人数据被泄

2018-01-09

美国国土安全部(DHS)于美国当地时间2018年1月3日发表声明称,其下属监察长办公室(OIG)2014年遭遇一起...

Imgur承认曾遭黑客攻击,170万账号信息被窃取

2017-12-27

继不久前 Uber 被曝付 10 万美元封口费给黑客掩盖 5700 万名用户及司机信息泄露事件,全球知名图片分享网...

41Gb、14亿个登录凭证 史上信息量最大的数据库在线曝光

2018-01-03

4IQ是一家位于美国洛斯加托斯的网络情报技术公司,其整合了网络、社交媒体、暗网等的内外部OSINT源,主要为国防和...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top