与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

验证码

健康应用PumpUp服务器未设密码 超过600万用户个人信息岌岌可危

发布时间:2018-06-06 来源: 浏览次数:7147次

据外媒ZDnet报道,位于加拿大安大略省的PumpUp公司在上周发布声明称,旗下同名社交健康追踪应用无意中暴露了用户的隐私和敏感数据,包括用户之间发送的健康信息和私人消息。


PumpUp公司将自己描述为一个健康与健身社区,由其开发的社交健康追踪应用PumpUp支持AndroidiOS平台,并声称在全球拥有超过600万用户。通过该应用,用户可以分享自拍和健康秘诀、制定和保存定制式锻炼计划以及从健身教练和其他用户那里获取建议。另一方面,它也可以被用来追踪用户活动,如消耗的热量、锻炼时间、锻炼进展等。

以上所有这些数据都被存储在一个核心的后端服务器,并托管在亚马逊的云端。然而,安全研究员Oliver Hough发现,该服务器并没有设置密码,这使得任何人都能够查看都有谁在进行登录、谁在实时发送消息以及消息的内容。

根据PumpUp公司的声明内容来看,该服务器被用于充当消息传递代理,负责将用户请求和私人消息发送给其他PumpUp应用用户。该代理使用了鲜为人知的MQTT协议,通常被开发人员用于物联网设备和手机应用之间的通信。

同时,该协议也是一种低带宽协议,从而能够降低服务器成本和数据开销。但由于它也属于一种临时协议,因此允许任何人都能够查看实时数据流,而不是访问大量的集中式数据存储。这也就是说,每当某个用户向其他用户发送消息时,PumpUp应用都会暴露该用户的个人资料和会话消息内容。

ZDnet指出,暴露的数据主要包括用户的电子邮箱地址、出生日期、性别和用户所在位置的地理信息,以及用户的生物特征、锻炼和活动目标、用户头像,还有用户是否已经被屏蔽、是否对应用进行了评分。此外,该应用还暴露了用户提交的健康信息,如身高、体重、咖啡因和酒精摄入量、吸烟频率、健康问题、药物和受伤处等。

在暴露的数据中还包括一些设备数据,例如iOSAndroid广告标识符、用户的IP地址以及应用的会话令牌,这些令牌可用于访问用户的帐户而无需密码。使用Facebook账户登录的用户同样也会暴露他们的访问令牌,并使他们的Facebook账户处于危险之中。在某些情况下,可能遭到暴露的还包括未文件加密的用户信用卡数据,如卡号、到期日期和信用卡验证值(Card Verification ValueCVV)。

ZDnet表示,他们花了一周多的时间来与PumpUp公司取得联系,但都没有得到PumpUp公司的任何回应。好消息是,该服务器已经在上周早些时候得到了密码保护,但目前并不清楚这台服务器已经暴露了多长时间。

推荐新闻

美国最大面包连锁店数百万顾客记录泄露长达八个月

2018-04-03

网络安全公司KrebsOnSecurity在本周一发表的文章中指出,美国最大面包连锁店Panerabread旗下网...

非法盗卖公民信息 获利三千被判四年

2019-01-31

(原标题:非法盗卖公民信息 获利三千被判四年) 【明修网络准入 严防...

银行数据大泄露 波及1亿美国人

2019-07-30

据新华社电 美国第七大商业银行“第一资本金融公司”29日宣布,大约1亿美国人和600万加拿大人的个人信息遭一名“...

诺基亚回应Nokia 7 Plus“信息泄露”一事:其他型号手机不受影响

2019-03-25

DoNews 3月25日消息(记者 赵晋杰)上周四挪威公共广播公司(NRK)报道了由HMD制造的与诺基亚7 Plu...

如何预防企业内部数据泄密事件

2019-05-20

据安全专家统计报告说明,企业在遭遇数据泄露事件时,有百分之八十的概率是出现在内部人员泄密身上。这样的结果表明,内部...



Copyright ©2006-2020 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部