流行的消息应用程序 JusTalk 留下了一个巨大的未加密私人消息数据库,在没有密码的情况下公开暴露在互联网上数月之久。
这款即时通讯应用拥有大约 2000 万国际用户,而 Google Play 上架的JusTalk Kids被称为其即时通讯应用的儿童友好版本,Android 下载量已超过 100 万次。
JusTalk 表示,它的两个消息应用程序都是端到端加密的,并在其网站上宣称“只有你和你与之通信的人才能看到、阅读或收听它们:即使是 JusTalk 团队也不会访问你的数据!”
但那不是真的。据安全研究员Anurag Sen称,该公司用于跟踪应用程序错误和错误的日志数据库在没有密码的情况下留在互联网上,他发现了暴露的数据库并请求 TechCrunch 帮助向公司报告这一失误.
该数据库和其中数百 GB 的数据——托管在华为在中国托管的云服务器上——只需知道其 IP 地址即可从网络浏览器访问。暴露设备和数据库的搜索引擎Shodan显示,至少从 1 月初数据库首次暴露以来,服务器一直在持续存储最近一个月的日志。
在我们报告该应用程序没有像公司声称的那样进行端到端加密后不久,数据库就被关闭了。
消息应用程序背后的中国云公司菊风在其网站上表示,它于 2016 年分拆了 JusTalk,现在由宁波 Jus 拥有和运营,这家公司似乎与菊风网站上列出的办公室共享同一办公室。
菊风的首席执行官兼 JusTalk 的创始人 Leo Lv 打开了我们的电子邮件,但没有回复,或者说公司是否计划通知用户安全漏洞。
由于服务器的数据与日志和其他计算机可读数据纠缠在一起,因此无法确切知道有多少人的私人信息因安全漏洞而暴露。
服务器每天收集和存储超过 1000 万条个人日志,包括通过应用程序发送的数百万条消息,包括发件人、收件人的电话号码和消息本身。该数据库还记录了所有拨打的电话,其中包括每个记录中的呼叫者和接收者的电话号码。
由于数据库中记录的每条消息都包含同一聊天中的每个电话号码,因此可以跟踪整个对话,包括使用 JusTalk Kids 应用程序与父母聊天的孩子。一个对话链包含足够的个人信息,可以识别一名牧师正在使用该应用程序招揽一名性工作者,该性工作者公开列出了他们的电话号码以提供服务,包括会议的时间、地点和价格。
尽管 JusTalk 声称,这些消息都没有被加密。
我们之前还报道过,该数据库还包括从用户手机中收集的数千名用户的详细位置数据,在美国、英国、印度、沙特阿拉伯、泰国和中国大陆拥有大量用户。该数据库还包含来自第三个应用程序JusTalk 2nd Phone Number的记录,该应用程序允许用户生成虚拟的、临时的电话号码以供使用,而不是提供他们的私人手机号码。对其中一些记录的审查表明,数据库正在记录此人的手机号码和他们生成的每个临时电话号码。
但 TechCrunch 发现有证据表明 Sen 并不是唯一一个找到暴露数据库的人。
数据库上留下的未注明日期的赎金记录表明,数据勒索者至少有一次访问了该数据,这是一个不良行为者,扫描互联网以查找暴露的数据库以窃取它并威胁要发布数据,除非赎金数百支付价值美元的加密货币。
目前尚不清楚是否有任何 JusTalk 数据因勒索者的访问而丢失或被盗,但与赎金票据相关的区块链地址显示它尚未收到任何资金。