据外媒TechCrunch报道,True自称是一款可以“保护你的隐私”的社交应用。但由于安全漏洞,该公司的一台服务器暴露了用户的私人数据。该应用程序由HelloMobile于2017年推出,HelloMobile是一家连接到T-Mobile网络的虚拟手机运营商。据True官网介绍,该公司已筹集到1400万美元的种子资金,并声称推出后不久便拥有超过50万用户。但是该应用程序的一个数据库的控制面板在没有密码的情况下在线公开,允许任何人阅读、浏览和搜索数据库——其中包括私人用户数据。总部位于迪拜的网络安全公司SpiderSilk的首席安全官MossabHussein发现了暴露的控制面板,并向TechCrunch提供了详细信息。根据搜索引擎BinaryEdge提供的数据,曝光最早发生在9月初。在TechCrunch联系到True后,该公司将控制面板下线。虽然True首席执行官布雷特考克斯向Techcrunch证实了违规行为,但他没有回答他们的具体问题,包括该公司是否计划将违规行为通知用户或根据州数据泄露通知法向监管机构披露该事件。据了解,该控制面板包含自今年2月以来的每日服务器日志,例如用户注册的电子邮件地址或电话号码、用户之间的私人帖子和消息的内容,以及用户最后已知的地理位置——地理位置.位置标识用户曾经或曾经去过的地方。此外,控制面板会公开用户上传的电子邮件和电话联系信息,True在应用程序中使用这些信息来匹配已知朋友。而且这些数据没有加密。TechCrunch通过创建一个测试账户并向Hussein询问只有他们知道的数据来证实这一点,例如他们用来注册该账户的电话号码。侯赛因指出,控制面板还泄露了账户访问令牌,可用于入侵和劫持任何用户的账户。尽管这些帐户访问令牌看起来像一排随机字母和数字,但用户不必每次都输入它们来登录应用程序。侯赛因使用TechCrunch的测试账户在控制面板中找到后者的访问令牌,并用它来访问他的账户并在上面发布消息。此外,控制面板会显示一次性登录代码,True会将其发送到与该帐户关联的电子邮件地址或电话号码,而不是存储密码。True表示,删除一个账户后,所有与之相关的内容都会从公司的服务器上删除。然而,TechCrunch测试发现并非如此。他们仍然可以在控制面板上搜索他们的私人信息、帖子和照片。TechCrunch目前无法联系到HelloMobile的发言人。
