卡戴珊姐妹网站的安全问题致逾 50 万用户信息遭泄

下一篇文章

博斯沃思将出席 Disrupt 旧金山 2015,讲解移动广告成功之道

卡戴珊姐妹日前推出的移动应用 已经雄踞 App Store 排行榜的前列,它们在上线过后的几天内均获得了高达数十万的下载量。随后这几位名媛姐妹还开放了自己的新个人网站,她们希望能够通过这些网站与粉丝进行更加紧密的接触,同时更充分地展示她们各自的个人生活。

然而,一位热心的年轻开发者在研究这些网站的过程中发现了一个问题。由于配置失误,他竟然能够从凯莉·詹纳(Kylie Jenner)的网站中获取超过 60 万用户的真实姓名和邮件地址,而且他还可以使用同样的方法获取卡戴珊姐妹其他网站的用户数据。

另外,该开发者表示他有能力创建和删除用户、照片和视频等内容,尽管我们了解到他没有做出这些行为。

这位年仅十九岁的开发者叫做阿拉西克·史密斯(Alaxic Smith),他之前已经表达了自己名人产业的兴趣。作为 Communly 的联合创始人,他所开发的产品是一款面向拥有共同兴趣的人群的移动社交应用,这些兴趣就包括随时了解自己喜欢的名人最新消息。

史密斯在博客网站 Medium 上解释了自己从凯莉·詹纳的网站上获取用户数据的方式。他还提到自己最初之所以想研究这些新网站,是因为他对它们的底层架构感到好奇,而不是为了恶意入侵或者专门发掘安全漏洞。

史密斯这样写道:

我承认自己下载凯莉的应用只是为了看一下。我也查看了她的网站,跟大多数的开发者一样,我决定深入了解一下这个网站的底层架构。在进一步查看这个网站之后,我发现了一个被命名为“kylie.min.75c4ceae105ad8689f88270895e77cb0_gz.js”的 JavaScript 文件。 只是为了好玩,我决定解压这个文件,看看他们收集了什么用户数据和其他可能被追踪的参数。我看到几条对某个 API 的调用,这当然是非常合理的做法。我将其中一个端点连到了我的浏览器,不出我所料,这页面出现了一个错误提示。

接下来,史密斯使用自己的用户名和密码登录了这个网站,然后跳转到了一个网页,他说这个网页含有 663279 位网站注册用户的全名和邮件地址信息。

根据这一发现,史密斯意识到自己可以在其他卡戴珊姐妹的网站上执行同样的 API 调用,并返回同样的数据。除了可以获取这些用户数据以外,史密斯表示他发现自己还可以创建和删除用户、照片和视频。

他所发现的其实是一个开放而且不安全的 API。

1-ioqmoxijeklnwvelhzqhla

这显然是一个重大的安全问题,而且鉴于这些网站本身的知名度,出现这样的问题是令人意外的。这位开发者立刻在 Medium 的博文中公布了这个问题,然后问道:“用户应该放心把自己的个人信息和支付信息交给这些应用吗?”

可能有人还不知道这是怎么一回事。这位开发者所指的是金·卡戴珊·维斯特(Kim Kardashian West)、科勒·卡戴珊(Khloé Kardashian)、肯达尔·詹纳(Kendall Jenner)和凯莉·詹纳(Kylie Jenner)在本周较早前推出的一系列新网站和应用。它们会向付费订阅会员提供一些独家内容,而这些会员在注册的时候需要提供自己的支付信息。这就像是一个私人的会员制社交媒体平台,每位姐妹的网站和应用都会围绕各自兴趣的独特内容,其中包括个人日记、视频直播、美妆教程、健身建议等内容。

虽然这只是泄露了自己的名字和邮件(不过可能令人更难堪的是,其他人知道你竟然会为这种内容花钱),但是如果这些网站的安全防护不过关,这样可能会将用户的个人隐私信息置于险境。

为了确认这次数据泄露和补救措施的细节,我们联系了这些网站和应用背后的运营公司 Whalerock Industries

据了解,史密斯目前正与这家公司进行合作,他已经将之前发表的博文拿下了,而且拒绝向媒体透露相关内容。

kylie_press_lowres

Whalerock 的一位发言人承认这批用户数据曾经短暂处于可获取状态,不过这个问题很快就得到了解决。他表示:

在上线之后不久,有人向我们提醒网站存在一个开放的 API。这个 API 即时就被关闭了。我们的日志表示该篇博文的作者只能获取有限的姓名和邮件地址。我们们的日志进一步表示没有其他人获取过相关信息,而且没有出现任何形式的用户密码和支付数据泄露。用户的数据安全是我们最优先的关注点。

无论如何,卡戴珊姐妹的网站和应用的大部分支付都是通过应用商店处理的,这些数据都没有经过网页。我们还确认了 Whalerock 一直都是通过第三方电子商务服务商来处理在线支付的。这就意味着他们从来没有在自己的服务器上保存过任何支付信息——这也许是他们暂时值得庆幸的一点。

这个安全漏洞本身只维持了几个小时,当时正值 Whalerock 团队忙于网站上线的相关工作的时候。史密斯在发表博文的同时也联系了他们,网站的开发者马上就采取了行动。

另外我们还了解到,该公司目前仍在确认遭到泄露的数据,并调查史密斯本人是否保存了任何的数据。

从这个事件本身来看,这位年轻开发者在挖掘今年最引人注目的名人科技产品的时候,他可能没有意识到自己正在卷入怎样的事态当中,也不知道向全世界公开这个问题可能会带来怎样的危害,无论他在做出这些举动时是否怀有恶意。

翻译:关嘉伟(@consideRay

Kardashian Website Security Issue Exposes Names, Emails Of Over Half A Million Subscribers, Payment Info Safe