热拉用户数据库九个月未加密,超过 500 万份资料有潜在安全风险
中国的女性同志社交网络热拉是最新一个忘记给数据库增加访问密码的服务。这个因疏忽而敞开访问的数据库包含 530 万用户的资料和私人信息。
发现这个安全漏洞的依然是最近两个月热切关注中国未加密 MongoDB 数据库的 GDI 基金会安全人员维克多·葛弗斯(
Victor Gevers
)。
他在本周发现了热拉的漏洞,并向 TechCrunch 指出,数据库暴露的时间点应该是去年 6 月份。
2017 年五月,热拉 突然全平台下架 ,关停原因 众说纷纭 。整整一年之后,热拉重新上架,软件提供商似乎发生了变化。
数据库信息包含用户的暱称、生日、身高体重、民族、性取向和兴趣爱好。一些用户如果允许应用获取她们的精确地理位置,那么这条信息也记录在开放数据库里。除此之外,数据库还保存了超过 2000 万条用户发布的动态信息。
维克多·葛弗斯表示, 「LGBTQ+群体的隐私本来就已脆弱,超过五百万人的数据泄漏是她们的个人资料安全的再一次打击。」
热拉发言人回应说,已将服务器加密。
如何在遵守法律的前提下进行业务也是一个挑战, 一些同性社交应用就因违反法律被关停,比如 2017 年 4 月因为传播淫秽内容而被关闭的男性同志社区 Zank。
不过,像 Blued 这样的更成熟的社区依然可以保持成长。此外,以收购 Opera 著名的昆仑万维在 2016 年以 9300 万美元价格收购了 Grindr 的大部分股权,随后又在 2018 年 买下公司的剩余股权 。不过据报道,由于美国外国投资委员会担心昆仑万维对美国国家安全造成风险,目前公司正在 考虑将 Grindr 出售 。