由于应用程序中存在漏洞,超过150万群组约会服务的用户暴露了他们的个人数据 - 包括他们的实时位置。约会网站,3Fun,自称是一个“私人空间”,在那里你可以遇到“当地的变态,思想开放的人。”但这些数据根本不是私密的。PenTestro的创始人Ken Munro,其中公布其调查结果周四与TechCrunch的共享调查结果,称这是“可能是我们所见过的约会应用最糟糕的安全性。”Pen Test Partners的研究人员发现该应用程序泄露了附近任何用户的精确位置,照片和其他个人详细信息。
更糟糕的是,由于该应用程序没有得到妥善保护,研究人员发现他们可以插入他们想要欺骗其位置的任何坐标,向他们选择的任何位置的任何人透露敏感信息,包括政府大楼,军事基地甚至情报机构。
TechCrunch与Pen Test Partners进行了相同的测试并确认了其结果。我们能够将当前的地理位置修改为我们想要的任何坐标 - 包括白宫和中央情报局的总部。
使用像Burp Suite这样的中间人工具,我们可以捕获我们的真实位置,在前往服务器的途中操纵它并接收该位置的一批数据。
其中一个公开的用户记录(左)和几个用户的近似表示(右)
我们在两个位置找到了用户的个人资料,包括他们的性取向 - 包括性取向和首选匹配;他们的年龄;用户名及其合作伙伴的用户名;他们的生物 - 其中许多包括用户的广泛,具体和个人信息;和他们的全分辨率头像。在某些情况下,出生日期也暴露出来。
没有数据被加密。研究人员将该应用称为“隐私列车残骸”。
研究人员于7月1日联系3Fun报告了这些漏洞。Munro说应用程序制造商花了几周时间来解决问题。
我们通过电子邮件向3Fun发了几个问题,但发言人Jennifer White没有回复评论请求。
这是最近几个月违反适当安全标准的最新应用程序。犹太人约会应用程序JCrush在安全失效后留下了6月暴露的200,000个用户记录。去年发布之日,保守的约会应用程序Donald Daters在其应用程序中留下了一组硬编码密钥之后,暴露了其整个用户群- 当时大约有1,600名用户 - 在安全研究人员反编译应用程序后很快就找到了。
另一个约会应用程序,Coffee Meets Bagel,在情人节那天被破坏了。
嗯,这是一个人的心脏的一种方式 - 黑客他们的约会配置文件。