HIV患者约会APP泄漏用户敏感数据
近日外媒报道,国外网络安全研究员Chris Vickery通过搜索引擎Shodan检索到2款健康类APP iFit和Hzone数据库,可直接泄漏用户数据。其中“Hzone”是HIV阳性患者的约会软件,“iFit”是一款健身app。Vickery向网络安全博客DataBreaches.net举报了此事,据DataBreaches.net称,此次泄漏至少从11月末(Hzone)和上周(iFit)开始,截止本周一漏洞已被修复。
尽管涉及人数不算多,但健康类app的数据泄漏十分引人注目,因为它们通常含有更隐私、更敏感的信息。他们还强调,许多健康类app虽然搜集了个人信息,但却并不需要遵守联邦病人隐私法——只要不和被该法律约束的人(如医生)共享信息即可。
Hzone的信息包括姓名、邮箱地址、生日、恋爱状态、孩子数量、性取向、性经历等隐私记录,在这次泄漏中出现了5,000名用户的数据。同时,iFit泄漏了567,000名用户数据。它所收集的信息包括密码、体重、性别、地址、信用卡数据、锻炼数据(如心率、锻炼日期和时间等)。
12月8日,他们联系了Hzone的开发者,但Hzone并未立即对他们的质问做出回应,并且过了五天才修复漏洞。本周三,Hzone的首席执行官Justin Robert表示,泄漏发生于公司升级服务器期间,但他们很快就鉴定出了漏洞,并且立即加强了安全措施,确保服务器和数据库的安全。目前为止,他尚未通知用户,但表示会在网页上挂一个公告。
12月10日,Vickery通过邮件告知了iFit。该公司声称,他所发现的是一年前的测试数据库(但含有真实数据),并表示他们会撤掉这个数据库。周一,Vickery被告知问题已经解决了。
国内知名互联网安全机构沃通CA的安全专家表示,健康类APP的用户信息在地下黑产交易中非常紧俏,因此黑客会更加卖力地挖掘这类产品的用户的信息。希望所有健康类的APP能够重视用户隐私安全,为APP客户端和服务器实施相应的安全策略,保障用户数据安全。据悉,沃通CA提供的安卓代码签名证书可以为APP进行签名加密,而沃通SSL证书可以为APP客户端和APP服务器之间搭建SSL加密通道,保护数据传输安全,建议APP开放商参考采用。