Grindr同性恋约会应用再次登上头条,几天前NBC的一份报告显示该应用存在两个漏洞(现已修复),这些漏洞泄露超过300万用户的信息。
攻击者可能利用这个漏洞获取其他用户的位置数据,私信以及个人资料,即使用户没有不共享这些信息。
资产管理初创公司Atlas Lane的首席执行官Trever Faden在运营他的网站C*ckblocked时发现了安全问题,这个网站能让用户看到谁在Grindr上屏蔽了自己。
Faden发现,一旦Grindr用户登录他的服务,就能访问与Grindr帐户相关的大量数据,包括未读消息,电子邮件地址和已删除的照片。
当媒体大肆传播这一消息时,BuzzFeed和挪威研究型非营利组织SINTEF发现,Grindr与两家第三方公司共享艾滋病相关的数据。
“SVT和SINTEF在今年2月7日进行了一项实验,分析约会应用程序Grindr中的隐私泄露。这个研究与瑞典电视节目“Plus granskar”有关,您可以在线观看。“SINTEF报道。
“我们发现Grindr包含许多追踪器,并直接从应用程序与各种第三方分享个人信息。”
配置文件包括敏感信息,如艾滋病毒状况,用户最近一次接受测试的时间,以及他们是否正在接受艾滋病毒治疗或艾滋病预防药物PrEP。
“Grindr不需要对接第三方服务来跟踪用户的HIV状态。此外,这些第三方不一定有托管医疗数据的认证,Grindr的用户丝毫不知道他们正在分享这些数据。“SINTEF补充说。
令人不安的是,Grindr一直在与两家帮助优化应用的公司分享用户的艾滋病状态和测试日期,分别是Apptimize和Localytics。
“这两家公司——Apptimize和Localytics帮助优化应用程序——接收Grindr用户的个人资料,其中包括他们的HIV状态和“最后测试日期”。BuzzFeed报告提到。
据挪威非营利组织SINTEF的研究员Antoine Pultier说,由于这些HIV信息与用户的GPS数据,电话号码和电子邮件一起发送,因此第三方公司可以识别出特定用户及其艾滋病毒状况。“
甚至在某些情况下,这些数据不受加密保护。
BuzzFeed的报告几个小时后,Grindr告诉Axios它已经停止共享用户的艾滋病毒状态。该公司的安全总监Bryce Case告诉Axios,鉴于Facebook的Cambridge Analytica丑闻,他认为公司“被不公平地……挑出毛病”,并表示该公司的做法没有偏离行业规范。
Grindr的首席技术官Scott Chen指出,“我们在严格的条款下共享数据,提供最高级别的加密,数据安全性和用户隐私。”
无论如何,Grindr不会将用户数据出售给第三方。
在周一下午发布的声明中,Grindr证实它将停止分享艾滋病毒数据。
该公司还向CNNMoney证实,它已经从Apptimize中删除了HIV数据,并且正在联系Localytics删除。
* 参考来源:SecurityAffairs,作者Sphinx,转载注明来自Freebuf.COM