新兴的印度社交媒体应用程序Slick留下了一个包含用户个人信息(包括学童数据)的内部数据库,该数据库公开暴露在互联网上数月之久。
至少从 12 月 11 日开始,一个包含 Slick 用户的全名、手机号码、出生日期和个人资料照片的数据库在没有密码的情况下被留在网上。
总部位于班加罗尔的 Slick 于 2022 年 11 月由前 Unacademy 高管 Archit Nanda 在从加密货币转向并关闭了他早期的初创公司 CoinMint 后推出。他的最新项目 Slick 可在 Android 和 iOS 上使用,其工作方式与 Gas 类似,Gas 是一款在美国流行的基于赞美的应用程序。该应用程序还允许学校和大学生匿名与他们的朋友交谈和谈论他们的朋友。
安全研究员Anurag Sen发现了暴露的数据库,并请求 TechCrunch 帮助将事件报告给这家社交媒体初创公司。在 TechCrunch 周五联系后,Slick 很快就保护了数据库。
由于配置错误,任何熟悉数据库 IP 地址的人都可以访问该数据库,该数据库在受到保护时包含超过 153,000 名用户的条目。 TechCrunch 还发现,该数据库可以通过 Slick 主网站上一个易于猜测的子域访问。
研究人员还通知了印度的计算机应急响应小组,即 CERT-In,该国负责处理网络安全问题的牵头机构。
Nanda 向 TechCrunch 证实,Slick 修复了曝光问题。目前尚不清楚除了 Sen 之外是否有其他人在数据库被保护之前找到了该数据库。
Slick 在去年首次亮相后不久就在印度吸引了许多年轻用户。本月早些时候,Nanda 在 Twitter 上宣布该应用程序的下载量已突破 100,000 次。
印度社交媒体应用 Slick 暴露了Jagmeet Singh最初发布于TechCrunch的儿童用户数据
原文: https://techcrunch.com/2023/02/10/slick-social-media-app-data-exposed/