https://blog.trendmicro.com.tw/?p=61125
Jack’d 外洩用戶私人照片長達一年
以「同性戀、雙性戀及好奇男士」為訴求對象的聊天約會應用程式 Jack’d 最近被迫必須支付 24 萬美元的罰金並改善公司資安措施,因為該公司的某台 Amazon Web Services (AWS) S3 伺服器因安全措施不當而持續外洩用戶私人照片長達一年的時間。紐約檢察長 (New York Attorney General) Leticia James 對外宣布這項和解時指出,Jack’d 所屬的 Online Buddies, Inc. 公司未能妥善保護該應用程式 1,900 名同性戀、雙性戀及跨性別用戶的敏感照片。
今年 2 月,Online Buddies 即因有報導指出該應用程式洩漏了敏感影像而遭到調查。一位名叫 Oliver Hough 的資安研究人員在循線追查一些裸露照片時發現來源竟然是 Jack’d 應用程式。他在 2018 年 2 月時便通知該公司,指出其 AWS S3 伺服器含有組態設定上的錯誤,但該公司卻未針對這項訊息採取行動。
這台不安全的 S3 伺服器除了洩漏用戶私下上傳及私下分享給其他用戶的裸露照片之外,還可能洩漏了一些其他敏感的資訊,包括:定位資訊、裝置識別碼、作業系統版本、密碼雜湊值,以及最近一次登入日期。
根據紐約檢察長辦公室發出的新聞稿指出,該應用程式光在紐約就有大約 7,000 名活躍用戶,而該公司也在官方網站上表示他們在全球 180 個國家 2,000 個城市共有 120 萬名活躍用戶。
文章內另有外文連結,板上好像還沒有人分享