安全人员发现社交网络热拉的一个未加密数据库

下一篇文章

欧盟呼吁提高 5G 技术安全性,但不拒绝华为产品

中国的女性同志社交网络热拉是最新一个忘记给数据库增加访问密码的服务。这个因疏忽而敞开访问的数据库包含 530 万用户的公开资料。

发现这个安全漏洞的依然是最近两个月热切关注中国未加密 MongoDB 数据库的 GDI 基金会安全人员维克多·葛弗斯(Victor Gevers)。他在本周发现了热拉的漏洞,并向 TechCrunch 指出,数据库曝露的时间点应该是去年 6 月份。

数据库信息包含用户选择公开显示的暱称、生日、身高体重、民族、性取向和兴趣爱好。一些用户如果允许应用获取她们的精确地理位置,那么这条信息也记录在开放数据库里。除此之外,数据库还保存了超过 2000 万条用户发布的动态信息。(更新:热拉回应这 2000 万条公开信息为日志 id,即日志在后台中的存储编号,仅为一串数字编号,并无任何头像、文字、图片、视频等实际内容)

维克多·葛弗斯表示,「中国 LGBTQ+群体的状况本来就不处于主流,对超过五百万人的信息资料处理不当并不是件好事。」

热拉发言人回应说,已将服务器加密。

更新:热拉方面给出了正式回应,全文如下:

官方声明

近日,部分媒体发布和转载关于 “热拉 APP 数据疑似泄露” 的相关报道。

对于报道所指事件,热拉(全称:杭州热澜科技有限公司,下称 “热拉”)特此声明:

一、本次事情的经过如下:2019 年 3 月 27 日上午,热拉工作人员收到来自 TechCrunch 编辑的邮件,称其发现热拉 APP 存在数据库安全访问的漏洞。随后,热拉团队立即采取行动,对 APP 数据库进行全面的排查,并在当日下午 17 时完成漏洞修复,目前热拉 APP 已确保不存在任何安全漏洞;

二、本次事件并无泄露任何用户的实名信息和隐私信息,不涉及用户姓名、照片、身份证、手机号码、绑定的微信登录账号、支付方式等用户的隐私信息;

三、本次事件涉及的数据均为 APP 中提供搜索服务的公开信息,所涉及的数据为:1、2000 万条日志 id,即日志在后台中的存储编号,仅为一串数字编号,并无任何头像、文字、图片、视频等实际内容;2、用户在个人资料中填写的 “对外开放” 资料,包含身高、体重、星座等匿名化信息,并且无法对应到某个真实的用户;

四、保护用户的隐私,为用户提供安全优质的服务是我们永久的使命,热拉全体成员将为此不遗余力。热拉一定会承担起保护用户隐私的责任,与有关部门合力调查本次事件,对于恶意窃取用户信息者将通过法律途径维护用户及公司的合法权益。同时,热拉也将诚恳地接受用户及媒体的监督。

热拉 APP 创始人兼 CEO Anson(热拉 ID:ansonr)在此向用户及媒体表示:“因为技术工作上的疏忽,我代表热拉团队向所有用户道歉!我们会立刻全面盘查,严谨工作流程,承诺不再发生安全漏洞等类似事件,承诺保护用户的隐私安全永远是热拉的首要任务。”

热拉团队会严肃反思,在日后的工作上,永远不忘将用户隐私、安全放在第一位。努力成为一家有能力、有理想、有承担的互联网创业公司。

杭州热澜科技有限公司

2019 年 3 月 28 日

如何在遵守法律的前提下进行业务也是一个挑战, 一些同性社交应用就因违反法律被关停,比如 2017 年 4 月因为传播淫秽内容而被关闭的男性同志社区 Zank。

不过,像 Blued 这样的更成熟的社区依然可以保持成长。此外,以收购 Opera 著名的昆仑万维在 2016 年以 9300 万美元价格收购了 Grindr 的大部分股权,随后又在 2018 年买下公司的剩余股权。不过据报道,由于美国外国投资委员会担心昆仑万维对美国国家安全造成风险,目前公司正在考虑将 Grindr 出售

更新:下面是声明的原始文档:

Rela, a Chinese lesbian dating app, exposed 5 million user profiles