https://blog.trendmicro.com.tw/?p=61125
Jack’d 外泄用户私人照片长达一年
以“同性恋、双性恋及好奇男士”为诉求对象的聊天约会应用程式 Jack’d 最近被迫必须支付 24 万美元的罚金并改善公司资安措施,因为该公司的某台 Amazon Web Services (AWS) S3 服务器因安全措施不当而持续外泄用户私人照片长达一年的时间。纽约检察长 (New York Attorney General) Leticia James 对外宣布这项和解时指出,Jack’d 所属的 Online Buddies, Inc. 公司未能妥善保护该应用程式 1,900 名同性恋、双性恋及跨性别用户的敏感照片。
今年 2 月,Online Buddies 即因有报导指出该应用程式泄漏了敏感影像而遭到调查。一位名叫 Oliver Hough 的资安研究人员在循线追查一些裸露照片时发现来源竟然是 Jack’d 应用程式。他在 2018 年 2 月时便通知该公司,指出其 AWS S3 服务器含有组态设定上的错误,但该公司却未针对这项讯息采取行动。
这台不安全的 S3 服务器除了泄漏用户私下上传及私下分享给其他用户的裸露照片之外,还可能泄漏了一些其他敏感的资讯,包括:定位资讯、装置识别码、作业系统版本、密码杂凑值,以及最近一次登入日期。
根据纽约检察长办公室发出的新闻稿指出,该应用程式光在纽约就有大约 7,000 名活跃用户,而该公司也在官方网站上表示他们在全球 180 个国家 2,000 个城市共有 120 万名活跃用户。
文章内另有外文连结,板上好像还没有人分享