您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
试用申请
请填写真实的企业信息,方便我们尽快了解您的企业安全需求。

*公司名称

*所在行业

*联系人

QQ

*联系电话

您的需求
私有云产品
云垒 立体式私有云安全纵深防御平台
云眼 新一代(云)主机入侵监测及安全管理系统
啸天 网络安全态势感知
云固 新一代网页防篡改系统
云御 新一代网站应用防御系统
云网 补丁管理系统
公有云产品
云磐 立体式公有云安全纵深防御平台
安全云主机
高级服务
抗DDoS云服务
高级渗透测试服务
攻击取证与溯源分析服务
信息安全等级保护服务
重大活动安保服务
勒索病毒防护
区块链安全
其他需求
*验证码
{{message}}
试用申请
知名约会软件3Fun泄露大量用户隐私和地理定位

来源:白帽汇

  近期,为“好奇和单身人士”服务的3Fun手机约会应用被曝出发生了会员数据数据泄露事件,涉及用户隐私和地理定位。

  3Fun声称在全球拥有超过150万会员。每天会产生超过18万条交流信息。

  Pen Test Partners的安全研究人员发现,这款约会应用存在几个严重的安全漏洞,导致用户的实时位置和其他敏感数据被泄露。具体数据包括出生日期、性偏好、聊天信息和私人照片。此外,信息泄漏和用户设置无关,即使用户正确地启用了隐私设置,个人数据也会被泄漏。

  研究人员注意到,该应用对数据的管理过滤只在客户端实现,攻击者只需使用简单的流量中转软件,即可绕过安全限制,查看到敏感信息。

  以下是应用向3Fun询问用户数据的GET请求示例:

  GET /match_users?from=0&latitude=xxxxxx&longitude=+yyyyyy&match_gender=63&match_max_age=61&match_min_age=30&offset=40&search_distance=100 HTTP/1.1

  根据Pen Test Partners的分析报告,用户发送请求所接收到的数据只会在应用本身进行过滤(指其中的敏感数据),并不会预先在服务器就过滤。即使设置好隐私保护,也只是减少在应用界面中所显示的数据。攻击者直接利用API就可以查询到其他用户的地理定位。

  研究人员从泄露的数据中能够找到世界各地的用户,甚至包括首相官邸唐宁街10号和华盛顿特区白宫的用户。

  当然,专家也解释说,以上敏感地理位置的用户可能是一些研究人员为了进行测试而修改了GPS坐标。但不管怎样,3Fun应用明显缺乏安全性和隐私性,令用户不安。

  攻击者可以利用这些用户地理定位和隐私数据跟踪或威胁受害者。

  专家还发现,这些隐私信息中甚至包括用户的私人照片,在API的响应中你可以轻易看到图片链接。

  Pen Test Partners于2019年7月1日向3Fun的开发团队报告了漏洞详情,3Fun回复如下:

  亲爱的Alex,谢谢你的提醒。我们会尽快解决这些问题。你还有什么其他建议吗?”

  好消息是,3Fun还是很快就解决了这些问题:

  研究人员最后总结道,这种数据泄露情况是非常严重的,因为攻击者利用起来毫无任何难度,且服务器端也很难及时对异常情况进行发现响应。