手機程式用戶資料外洩,可能有不少人經已司空見慣。今回出事的是中國大陸一個名為 Boomoji 的自訂卡通頭像 app,被外媒揭發有用戶資料外洩的情況,出事疑為 Boomoji 沒有將兩個 ElasticSearch 數據庫加密,猶如無掩雞籠一樣,讓他人可於瀏覽器竊取及刪除數據庫資料。
【相關報道】
【相關報道】
大陸出品數據零設防
Boomoji 是大陸西安逆襲網絡科技有限公司製作的自訂卡通頭像 app,對應 iOS 及 Android 作業平台。據外媒報道指,雖然 Boomoji 於香港和美國設立數據庫,並分別儲存大陸及世界各地其他用家的資料,但由於當中是存於 Shodan 網路搜尋引擎,因此只要網友輸入關鍵字眼搜尋,即可將沒有加密的純文字數據庫盡收眼底。
資料外洩比想像中嚴重
當外媒發現事件後,即跟 Boomoji 方面了解情況。縱然 Boomoji 隨即將在香港及美國的數據庫離線,而 Boomoji 發言人也表示數據庫只作測試用途,惟外媒卻查出更嚴重的結果,就是用戶資料全都跟獨有 Boomoji ID 連接,而外洩的內容更包括 Boomoji 登入名稱、用家的學校名稱、530 萬個用家的準確地理位置,甚至連 1.25 億電話簿資料都一目了然!
【相關報道】
【相關報道】
沒安裝程式一樣會出事
簡單而言,即使你自己沒有安裝 Boomoji,但你的朋友有安裝,兼儲存了你的電話或其他聯絡資料,你都一樣有私隱外洩的可能,因此受影響人數可能不只是以上所提的數字次外,更大問題是 Boomoji 從沒有提供任何方法,可讓用家刪除曾經提交的個人資料,防範因私隱外洩而造成的損失。
不回應會否上報 GDPR
外媒還有提,Boomoji 用戶資料外洩事件已有違歐盟通用資料保護規則(GDPR)的規定,惟問及 Boomoji 方面會否將事故上報,對方則不作任何回應。
【相關報道】
【相關報道】
Source: Tech Crunch