标签: 数据泄露

承诺会保护隐私的社交应用 True 却意外曝光用户私人数据

据外媒TechCrunch报道,True自称是一款能够“保护你的隐私”的社交网络应用。但由于安全漏洞,该公司的一台服务器却曝光了用户私人数据。这款应用于2017年由Hello Mobile推出,Hello Mobile是一家虚拟手机运营商,依附于T-Mobile的网络。 True官方网站介绍称,公司已经筹集到1400万美元的种子基金并称在推出后不久就拥有超50万名的用户。 但该应用的一个数据库的控制面板在没有密码的情况下被暴露在网上,其允许任何人阅读、浏览和搜索该数据库–其中包括私人用户数据。 迪拜网络安全公司SpiderSilk的首席安全长Mossab Hussein发现了这个被暴露的控制面板并向TechCrunch提供了详细信息。来自搜索引擎BinaryEdge提供的数据显示,该曝光早在9月初就已经发生。 在TechCrunch联系True之后,这家公司对控制面板进行了离线处理。 True CEO Bret Cox虽然向Techcrunch证实了安全漏洞的存在,但并没有回答他们提出的具体问题,包括该公司是否计划通知用户存在安全漏洞或否计划根据州数据泄露通知法向监管机构披露该事件。 据了解,控制面板包含了从今年2月开始的每日服务器日志,像用户注册的电子邮件地址或电话号码、用户之间的私人帖子和消息内容以及用户最后已知的地理位置–这些地理位置则可以识别用户过去或曾经的位置。另外,控制面板还会暴露用户上传的电子邮件和电话联系方式,True会在应用中使用这些信息来匹配已知的朋友。并且这些数据都没有进行加密处理。 TechCrunch通过创建一个测试账号并要求Hussein提供只有他们自己知道的数据如注册账号时使用的电话号码确认了这一情况。 Hussein指出,控制面板还对外泄露了账号访问令牌,这些令牌可以用来入侵和劫持任何用户的账号。虽然这些账号访问令牌看起来像一行随机的字母和数字,但用户无需每次输入就可以登录到应用中。Hussein就使用TechCrunch的测试帐号在控制面板中找到了后者的访问令牌,并使用它访问其帐号并在上面发布消息。 此外,控制面板还显示了一次性登录代码,True会将这些代码发送到与账号关联的电子邮件地址或电话号码,而不是存储密码。 True表示,在删除账号后与其有关的所有内容都会从该公司的服务器被清除。然而TechCrunch经过测试发现事实并非如此,他们仍可以在控制面板上搜索到其私人信息、帖子和照片等。 目前,TechCrunch无法联系到Hello Mobile的发言人。     (消息及封面来源:cnbeta)

安全专家发现链接预览会泄漏敏感数据

链接预览几乎是主流聊天和即时信息应用中标配的功能,它能预览链接中关联的图像和文本,从而让在线对话更加轻松。但遗憾的是,它们还可能会泄漏我们的敏感数据、消耗我们有限的带宽、耗尽我们的电池,甚至在某些情况下能够暴露原本应该端到端加密的聊天内容。根据本周一发布的研究,目前 Facebook,Instagram,LinkedIn 和 Line 中的信息就存在这样的问题。 当发送者发送了一条包含链接的信息,应用可能会显示该链接随附的文本(通常是标题)和图像,通常看起来会是下面这样的: 为此,应用程序本身(或由应用程序指定的代理)必须要先访问该链接,打开文件,并调查其中的内容。而在这个过程中可能会下载恶意程序。其他形式的恶意行为可能会迫使应用下载太大的文件,以至于导致应用崩溃,耗尽电池或消耗有限的带宽。而且,如果链接指向私人材料(例如,将报税表发布到私人OneDrive或DropBox帐户),则应用服务器可以无限期查看和存储它。 本周一,安全研究人员塔拉尔·哈吉·巴克里(Talal Haj Bakry)和汤米·迈斯克(Tommy Mysk)发现,Facebook Messenger 和 Instagram 在方面的表现比较糟糕。如下图所示,两个应用程序都会下载并复制整个链接文件,即使文件大小为千兆字节也是如此。同样,如果文件是用户希望保密的文件,则可能会引起关注。 即使链接的文件容量高达 2.6 GB,在 Facebook Messenger 和 Instagram 两款应用中发送链接预览之后依然会进行下载。 Haj Bakry 和 Mysk 向Facebook报告了他们的发现,该公司表示这两个应用程序都可以正常工作。 Instagram 的所有者 Facebook 在一封电子邮件中说,其服务器仅下载图像的缩小版本,而不下载原始文件,并且该公司不存储该数据。 但是 Mysk 表示,该视频演示了 Instagram 全部下载了 2.6GB 文件(Ubuntu ISO,文件重命名为ubuntu.png )。他还指出,大多数其他 Messenger 会剥离 JavaScript,而不是下载并在其服务器上运行。LinkedIn的表现略好。唯一的区别是,它没有复制任何大小的文件,而是仅复制了前50兆字节。 同时,当 Line 应用程序打开加密消息并找到链接时,它似乎会将链接发送到 Line 服务器以生成预览。Haj Bakry 和 Mysk 写道:“我们认为这违反了端到端加密的目的,因为LINE服务器知道通过应用程序发送的所有链接,以及谁与谁共享链接。” Discord,Google Hangouts,Slack,Twitter和Zoom也会复制文件,但它们将数据量限制在15MB到50MB之间。上图提供了研究中每个应用程序的比较。     (消息来源:cnBeta;封面来自网络)  

勒索软件 Nefilim 泄露了 Luxottica 的数据

Luxottica Group S.p.A 是全球眼镜行业最大的眼镜集团。作为一家垂直化公司,Luxottica集设计、制造、分销、零售一体化,还为Chanel、Prada、Giorgio Armani、Burberry、Versace等品牌设计太阳眼镜和镜架,拥有超过80,000名员工,在2019年创造了94亿美元的收入。 9月18日,该公司遭到网络攻击,部分运营网站无法访问。 意大利 媒体 报道,由于系统故障,部分Luxottica工厂的运营中断。经证实,该工厂的工作人员收到了一条SMS:“出现了严重的IT问题,9月21日暂停第二个工作班次。” 安全公司Bad Packets推测 Citrix ADX控制器设备受 CVE-2019-19781漏洞的影响,易让黑客利用勒索软件攻击公司系统。Luxottica尚未发布任何有关此次网络攻击的官方声明。被泄露数据包含相关招聘信息、简历机密以及人力资源部内部结构信息以及预算、市场预测分析等财务信息。 Nefilim勒索软件黑客还发布消息指控Luxottica未能正确处理网络攻击。     消息来源:securityaffairs ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

英国航空公司因数据泄露被罚款 2000 万英镑

2018 年,英国航空公司泄露了 40 万用户数据。近日,信息专员办公室(ICO)对英国航空公司除以 2000 万英镑(约合 2585 万美元)的罚款。 罚款是迄今为止 ICO 开除的最高记录,因为该航空公司违反数据保护法,在处理大量个人数据时没有采取适当的安全措施。 ICO 表示,英国航空公司未能发现并解决这些安全漏洞,最终导致了 2018 年的攻击。攻击者在两周内窃取了将近 43 万名用户的数据,泄露的数据包括使用英国航空公司网站和 App 预定机票的付款信息、姓名、地址和密码信息。 ICO 批评英国航空公司在两个多月的时间内都未能发现网络攻击。Elizabeth Denham 表示:“人们将个人详细信息交给英国航空公司,英航应该采取足够的措施保证这些信息的安全”。ICO 认为这样的不作为是不可接受的,这样规模的数据泄露影响了很多很多人。 组织管理的个人数据泄露时,可能会对人们的生活产生影响。现在,法律为我们提供了要求企业做好信息安全防护的保障。 尽管 2000 万英镑已经是创纪录的罚款金额,但这已远低于 ICO 在 2019 年 6 月提出的 1.83 亿英镑的罚款金额,这在当时是自《通用数据保护法》(GDPR)实施以来最大的一笔罚款。ICO 表示,这考量了英国航空公司的的请求以及 COVID-19 对航空业产生的巨大影响。监管机构同时指出,2018 年后,英国航空公司的 IT 安全性进行了相当大的改进。 英国航空公司表示:“2018 年,一发现我们的系统被攻击,我们就立刻向用户发出的提醒。但是很遗憾,我们未能达到用户的预期”,“我们很高兴监管机构能够肯定我们为系统安全性做出的改进,我们也积极配合相关调查工作”。     (消息及图片来源:Forbes;译文来自FreeBuf.COM。)

监狱视频探视服务 HomeWAV 暴露了囚犯与律师之间的私下通话

据外媒TechCrunch报道,由于担心新冠病毒的传播,美国大部分监狱仍暂不允许家人和律师探视服刑人员。探访者无法看到他们正在服刑的亲人,迫使朋友和家人使用昂贵的视频探视服务,但这些服务往往不起作用。但现在这些系统的安全和隐私受到审查后,一个基于圣路易斯的监狱视频探视供应商被发现存在一个安全漏洞,暴露了数千名囚犯和他们的家人之间的电话,但也有他们与律师的通话,这些应该是由律师 – 客户特权保护的电话。 HomeWAV为全美十几所监狱提供服务,它的一个数据库在没有密码的情况下暴露在互联网上,允许任何人阅读、浏览和搜索囚犯与其朋友和家人之间的通话记录和转录。抄本还显示了打电话者的电话号码、哪个犯人以及通话时间。 安全研究员Bob Diachenko发现了这个安全漏洞,他说,这个数据库至少从4月份开始就已经公开了。TechCrunch向HomeWAV报告了这个问题,HomeWAV在几个小时后关闭了系统。 在一封电子邮件中,HomeWAV首席执行官John Best证实了该安全漏洞。他告诉TechCrunch:“我们的一个第三方供应商已经证实,他们意外地取下了密码,从而允许访问服务器。”Best没有点名第三方供应商的名字,他表示,公司将把这一事件通知囚犯、家属和律师。 ACLU刑法改革项目的高级职员律师Somil Trivedi告诉TechCrunch:“我们一次又一次看到的是,当系统失败时,被监禁者的权利是第一个被践踏的–因为它总是这样。” “我们的司法系统只有对最弱势者的保护才是好的。一如既往,有色人种、请不起律师的人和残疾人将为这个错误付出最高的代价。”Trivedi说:”技术不能解决刑事法律制度的根本性缺陷–如果我们不慎重和谨慎,它将加剧这些缺陷。” 美国几乎所有的监狱都会记录囚犯的电话和视频通话–即使在每次通话开始时没有披露。据悉,检察官和调查人员会回听录音,以防囚犯在通话中自证其罪。然而,由于律师与当事人的特权,囚犯与其律师之间的通话不应该被监控,这一规则保护律师与其当事人之间的通信不被用于法庭。 尽管如此,已知有美国检察官使用律师与被监禁客户之间的通话录音的案例。去年,美国肯塔基州路易斯维尔市的检察官据称监听了一名谋杀嫌疑人与其律师之间的数十次通话。而且,今年早些时候,缅因州的辩护律师表示,他们经常被几个县级监狱录音,他们在律师客户特权保护下的电话至少在四个案件中被移交给检察官。 HomeWAV的网站上说:“除非来访者之前已经登记为神职人员,或者是犯人有权与之进行特权交流的法律代表,否则会告知来访者,访问可能会被记录,并且可以被监控。” 但当被问及时,HomeWAV的Best不愿透露该公司为何要记录和抄录受律师-当事人特权保护的对话。TechCrunch审查的几份记录显示,律师明确宣布他们的通话受律师-当事人特权保护,有效地告诉任何听进去的人,通话是禁区。 TechCrunch与两位律师进行了交谈,他们与监狱中的客户在过去六个月的通信被HomeWAV记录并转录,但要求不要说出他们或他们的客户的名字,因为这样做可能会损害他们客户的法律辩护。两人都对自己的通话被录音表示震惊。其中一位律师表示,他们在通话中口头主张律师与当事人的特权,而另一位律师也认为他们的通话受到律师与当事人特权的保护,但拒绝进一步评论,直到他们与当事人通话。 另一位辩护律师Daniel Repka告诉TechCrunch证实,他9月份与监狱中的一位客户的一次通话被记录、转录,随后被曝光,但他表示这次通话并不敏感。“我们没有转达任何被认为是受律师-客户特权保护的信息,”Repka说。“任何时候,我都有一个客户从监狱给我打电话,我非常意识到并意识到不仅有可能出现安全漏洞,而且还有可能被县检察官办公室访问这些电话。” Repka称:“这确实是我们能够确保律师能够以最有效和最热心的方式代表他们的客户的唯一方法。”他说道:“律师的最佳做法是,总是亲自去监狱探望你的客户,在那里,你在一个房间里,你有更多的隐私,而不是通过电话线,你知道已经被指定为录音设备。” 但疫情带来的挑战使得亲自探视变得困难,或者在一些州不可能。关注美国刑事司法的无党派组织 “马歇尔计划 “说,由于冠状病毒带来的威胁,几个州已经暂停了亲自探视,包括合法探视。甚至在大流行之前,一些监狱就结束了亲自探视,改用视频通话。 视频探视技术现在是一个价值数十亿美元的产业,像Securus这样的公司每年通过向呼叫者收取高昂的费用来呼叫他们被监禁的亲人而赚取数百万美元。 HomeWAV并不是唯一一家面临安全问题的视频探视服务。2015年,Securus的一个明显的漏洞导致约7000万个囚犯电话被匿名黑客泄露,并与The Intercept分享。据该出版物报道,缓存中的许多录音还包含受律师-当事人特权保护的指定电话。 8月,Diachenko报告说,另一家监狱探视服务机构TelMate也出现了类似的安全漏洞,由于无密码数据库,数百万条囚犯信息被泄露。     (稿源:cnBeta,封面源自网络。)

微软表示将调查 Windows XP 与 Server 2003 源代码泄露一事

微软的Windows XP和Windows Server 2003的源代码已经在网上泄露。本周,这两个对公司而言具有历史意义的操作系统的源代码的Torrent文件已经被公布在各个文件共享网站上。这是Windows XP的源代码首次公开泄露,尽管早有消息声称这段代码已经被私下共享多年。 这些材料的真实性已经被核实,微软发言人告诉表示公司正在 “调查此事”。最新的源代码泄露不太可能对仍然停留在运行Windows XP机器的公司构成重大威胁。微软早在2014年就结束了对Windows XP的支持,不过该公司在2017年用一个极不寻常的Windows XP补丁来应对大规模的WannaCry恶意软件攻击。 这是Windows XP源代码首次公开出现,但源码并不是被严格保存的,微软曾经启动了一个特殊的政府安全计划(GSP),允许政府和组织有控制地访问源代码和其他技术内容。 这次最新的Windows XP源码泄露也并不是微软操作系统源代码第一次出现在网上。几年前至少有1GB的Windows 10相关源代码泄露,微软今年还面临一系列Xbox相关源代码的泄露。原始的Xbox和Windows NT 3.5源代码早在5月份就出现在网上,就在Xbox Series X图形源代码被盗并泄露到网上的几周后。 目前还不清楚这次泄露的源代码中包含了多少Windows XP源代码,但一位Windows内部专家称已经在其中找到了微软的NetMeeting用户证书根签密钥。 部分源代码泄露还参考了微软的Windows CE操作系统、MS-DOS以及其他泄露的微软资料。诡异的是,这些文件中还提到了比尔·盖茨的阴谋论,显然是想传播错误信息。     (稿源:cnBeta,封面源自网络。)

Microsoft Bing Server 暴露用户搜索查询和位置信息

与Microsoft Bing相关的一个后端服务器暴露了搜索引擎移动应用用户的敏感数据,包括搜索查询、设备详细信息和GPS坐标等。 然而,日志数据库不包括任何个人信息,如姓名或地址。 9月12日,WizCase的Ata Hakcil发现了这一数据泄露,它是一个6.5TB的海量日志文件缓存,任何人都可以在没有任何密码的情况下访问这些文件,这有可能让攻击者利用这些信息进行敲诈和网络钓鱼诈骗。 WizCase称,服务器在9月10日之前一直受到密码保护,此后,身份验证似乎被无意中删除了。 微软安全响应中心知悉后,Windows制造商于9月16日解决了这一错误配置。 近年来,配置不当的服务器一直是数据泄露的持续来源,它会导致电子邮件地址、密码、电话号码和私人信息暴露。 WizCase的Chase Williams在周一的一篇文章中说:“基于绝对的数据量,可以安全地推测,任何在服务器暴露的情况下使用Bing搜索的人都有风险。”“我们看到了来自70多个国家的搜索记录。” 一些搜索词包括搜索儿童色情内容和他们在搜索后访问的网站,以及“与枪支相关的查询,包括购买枪支的搜索历史记录,以及‘杀死共产主义者’之类的搜索词。” 除了设备和位置的详细信息外,这些数据还包括使用移动应用程序执行搜索的确切时间、用户从搜索结果中访问的URL的部分列表以及三个唯一标识符,如ADID(Microsoft广告分配给广告的数字ID)、“deviceID”和“devicehash”。 此外,该服务器还遭受了至少两次所谓的“meow attack”,这是一次自动网络攻击,自7月以来,该攻击已从14000多个不安全的数据库实例中抹去数据,且没有任何解释。 尽管泄露的服务器没有透露姓名和其他个人信息,但WizCase警告说,这些数据可能被用于其他目的。此外,这还会让犯罪分子定位用户的行踪,用户可能会遭受人身攻击。 “无论是搜索成人内容、欺骗重要人物、极端政治观点,还是人们在必应上搜索的数百件令人尴尬的事情,”该公司表示一旦黑客掌握了搜索查询信息,他们可以根据服务器上提供的详细信息查出受害者的身份,从而使受害者容易成为敲诈的目标。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

动视发生严重个人资料泄漏事件:超 50 万账号被曝光

援引外媒 Dexerto 报道,可能有超过 50 万个动视账号被入侵,包括密码在内的登录凭证信息被泄漏。动视账户主要用于追踪《使命召唤》游戏的进度,以及包括《只狼:影逝二度》等其他动视游戏,并邀请更多玩家加入。 上周日晚上,Okami 和 TheGamingRevolution 等《使命召唤》的 Insider 率先报告了动视的本次安全事件,他们称黑客攻击是持续的。TheGamingRevolution 在推文中写道:“动视的账号显然正在泄漏,所以请尽快改变你的密码,尽管这可能甚至没有帮助,因为他们每 10 分钟就会窃取 1000 个账户”。 虽然我们不知道黑客究竟是如何获得账户的访问权限,但很可能他们只是使用了蛮力的方法,因为动视账户不提供双因素认证。众多《使命召唤》玩家表示,由于黑客进入他们的动视账户并更改密码,导致无法进入他们的账户。 截至目前,还不知道黑客攻击是否还在进行中,也不知道受影响的账号情况如何,因为动视还没有就此事发表任何形式的声明,而最初透露事情经过的人也没有透露任何新的信息。 更新:在 1 个小时之前,动视发布公告,并提供了确认用户账号是否安全的指南。     (稿源:cnBeta,封面源自网络。)

“微信清粉”软件存风险 有用户中毒或被盗取个人信息

微信已经成了很多人的主要联系方式,很多场合下人们已经从留电话变为加好友。微信通讯录越来越长,但里面一些人却很少联系,于是,一种所谓“微信清粉”的服务应运而生,相信很多人都收到、看到过这样的信息,甚至是使用过这样的服务。然而您不知道的是,这种方式可能威胁到您的信息安全。 年恒是一位医务工作者,今年9月的一天,他突然收到一条令他意外的微信信息。 年恒:“我点开看了之后发现,是有一段时间没联系的一个老师,她发了一条微信朋友圈,说她最近使用了一个微信清粉的服务,非常好用,底下有一条链接。当时我看到这个消息的时候我也是非常奇怪,因为我印象中老师一般不会发这种消息。” 年恒向老师发微信询问事情的原委,对方回复说她是在一个微信群中看到了一个清粉二维码,考虑到自己微信中的好友人数非常多,确实想清理好友,于是进行了尝试。 年恒:“当时(老师)摁了一下二维码识别了之后,在她自己都不知道的情况下,就往朋友圈里面发了一些消息,同时还往群里面散布了这些消息,给她自己带来非常多的麻烦。那一天下午没有做别的,就一直在解释,说自己受骗了,是扫描二维码后自动发出的。” 采访中,不少微信用户都反映他们收到过好友发送的微信清粉链接或二维码。这些微信“清粉”链接,不仅会自动在朋友圈发送广告,还可能盗取用户的个人账号信息来售卖牟利。网友黄女士在消费投诉平台“聚投诉”上反映,今年5月她在使用“清粉”服务后,很快发现微信中有一笔自己并不知情的交易,对方是某网络游戏。继而她发现,在这款从未接触过的网游中,竟有自己的实名注册账号。 微信“清粉”实为控制账号 安全风险大 那么这种所谓的“清粉”服务究竟是如何进行操作的,又会给用户带来哪些信息安全隐患? 专家表示,“清粉”的原理是通过应用集群控制软件来控制待清理的微信账户,让该账户自动向其所有好友群发消息,再由群控软件根据“信息是否能够成功发送接收”来识别其中哪些是“僵尸粉”并删除。而无论是群发消息还是拉群,都需要用户通过扫描二维码来授权清粉服务的提供者登录网页版微信。而在这背后,潜藏着巨大的风险。 数字经济智库高级研究员胡麒牧:“第一个因为你授权给他,相当于他接管了你的账户,这样他就可以调取你的个人资料,包括微信的通讯录、聊天记录,还有你手机的通讯录、聊天资料、通讯录和你的一些资料,都有可能会泄露出去;第二个他通过占有你的一个账户,他去注册一些其他的账户去做一些事情,如果这些事情是违法的,就会对你个人的一个征信带来影响;第三个他可能会通过你的账户发一些比如诈骗之类的一些信息。” 全国首例“清粉”案告破 专家提醒扫码务必谨慎 近日,江苏南通市公安局对外披露,他们在“净网2020”专项行动中成功侦破一起利用微信“清粉”软件非法获取计算机信息系统数据的案件,5名涉案犯罪嫌疑人全部落网,这也是全国破获的首例利用“清粉”软件非法获取信息的案件。 在案件侦破中,江苏南通市公安局网安支队的民警发现,围绕“清粉”软件非法获取的用户信息已经形成了一个非法倒卖的黑色产业链。 江苏省南通市通州区公安局民警曹灿华:“犯罪嫌疑人在取得微信账号的控制权限后,借机非法获取用户微信群聊二维码信息,并将这些群聊二维码以图片形式保存在服务器上。” 随后,犯罪嫌疑人再将用户微信群聊二维码等信息倒卖给下游的诈骗、赌博等犯罪团伙。短短3个月时间,该犯罪团伙共非法获取用户微信群聊二维码2000余万个,均出售给了福建龙岩等地的诈骗赌博犯罪团伙,同时还为他人批量关注微信公众号和刷阅读量、刷赞,先后获利200余万元。 江苏省南通市通州区公安局网安大队副大队长徐辉:“从非法获取微信用户的相关个人信息到下游的广告、营销和其他网络犯罪,相关的网络黑灰产已经形成一个各环节相互独立又紧密协作的产业链。” 目前,5名涉案犯罪嫌疑人因涉嫌非法获取计算机信息系统数据罪均已被执行逮捕,案件在进一步办理中。律师表示,“隐蔽性、跨地域性、证据材料不易固定等”是整治此类乱象的难点,而这些特征也增加了用户维权的难度。 北京市京师律师事务所律师孟博表示,基于“清粉”软件所潜在的巨大风险,不建议使用此类“服务”,提升防范意识,保护好个人信息;不要轻易点击不明来源的链接、二维码;在对外转账时,提前多方核实。 我们也呼吁软件开发商应该更积极地承担起监管责任,想办法从源头堵住这类行为,避免用户遭受损失。     (稿源:央视,封面源自网络。)

乔·拜登竞选应用现漏洞:选民敏感信息可被轻易查询

据外媒TechCrunch报道,一名安全研究人员发现,美民主党总统候选人乔·拜登的官方竞选应用存在隐私漏洞–任何人都可以查询数百万美国人的敏感选民信息。这款名为Vote Joe的竞选应用允许拜登的支持者在即将到来的美国总统大选中鼓励朋友和家人投票,方法是上传他们的手机联系人列表然后看看他们的朋友和家人是否已经注册投票。 据悉,这款应用将用户上传的联系人跟TargetSmart提供的选民数据进行匹配。TargetSmart是一家政治营销公司,声称拥有超1.91亿美国人的个人文件。 当完成匹配后,该应用就会显示选民的姓名、年龄和生日以及他们在最近的选举中投了票。该应用还称,这将被有助于用户找到自己认识的人并鼓励他们参与进来。 虽然大部分数据都已经可以公开,但这个漏洞可以让任何人都通过这个应用轻松访问任何一位选民的信息。 移动专家App Analyst在以自己的名字命名的博客上详细介绍了自己的发现。他指出,其可以通过在自己的手机上创建一个以选民名字命名的联系人名单来欺骗该应用获取任何人的信息。 他告诉TechCrunch,更糟糕的是,该应用吸收的数据比实际显示的要多得多。通过拦截进出设备的数据,他可以看到更详细、更私密的信息,其中包括选民的家庭住址、出生日期、性别、种族和支持的政党。 拜登的竞选团队修复了这个漏洞并在周五发布了一个应用更新。 拜登竞选团队发言人Matt Hill告诉TechCrunch:“我们被告知,我们的第三方应用开发商从商业数据中提供了不需要的额外信息。于是我们迅速跟供应商合作解决了这个问题并删除了这些信息。我们致力于保护我们的员工、志愿者和支持者的隐私,我们将一直跟供应商合作来做到这一点。” TargetSmart的一名发言人表示,其他用户可以访问有限数量的公开或商业可用数据。 实际上在政治竞选活动中,交易和共享大量选民信息的情况并不少见,这些信息被称为选民档案,其中包括选民的姓名、家庭住址、联系方式以及他们登记的政党等基本信息。每个州的选民档案都有着很大的不同。 虽然这些数据中有很多是可以公开获得的,但政治公司也试图从其他来源获取更多的数据来丰富他们的数据库进而帮助政治竞选活动识别和锁定关键的摇摆选民。     (稿源:cnBeta,封面源自网络。)