知名孩童追踪AppMongoDB帐号未上锁,近24万名用户个资及所在地点

2019-03-25 17:03

导读: Techcrunch报导知名孩童追踪app React底层的MongoDB资料库未设密码,使将近23万8000名用户的姓名、相片等个资、即时所在位置都可能遭外人存

Techcrunch报导知名孩童追踪app React底层的MongoDB资料库未设密码,使将近23万8000名用户的姓名、相片等个资、即时所在位置都可能遭外人存取。


React是澳洲开发商React Apps开发的同名产品,这款app以提供即时监控家中孩童、配偶或可能迷路的长者所在地点而闻名。上周GDI安全研究人员Sanyam Jain发现,React用来储存用户资料的云端MongoDB资料库未设密码,可让知道正确路径的人轻易存取。研究人员发现,238,000名用户个资已经曝险不知多久时间,因而向Techcrunch通报。

根据分析,这些资料中每个用户帐号下的使用者名称、电子邮件、用户相片及明文储存的密码等个资。此外还有用户及其家人的即时所在位置。若用户设定过地理围栅(geo-fencing),则还会看到这些地方的座标、以及用户设定为「家」、「公司」等名称。

媒体随机抽取了其中几位用户后联系,结果证实这些资料真的可以反映出用户及其孩童的即时地点。

这家App厂商不仅网页未提供公司联络方式,连隐私政策页及公司登记资料中也都付之阙如,使媒体始终未能连络上,最后仅能透过代管MongDB的微软Azure部门联络。数小时后资料库终于下架。不过资料库门户洞开倒底持续多久不得而知,该公司最后仍然未证实资料可能外泄一事。

相关文章