安全警示
HIV患者约会App泄漏5千用户数据
[-]
网络安全研究员Chris Vickery最近发现,两个健康类app泄漏出了用户数据,其中一个是HIV阳性患者的约会软件“Hzone”,而另一个则是健身app“iFit”。首次对此进行报道的网络安全博客DataBreaches.net称,此次泄漏至少从11月末(Hzone)和上周(iFit)开始,它使得用户个人信息处于易被攻击状态。截止本周一,漏洞已被修复。
尽管涉及人数不算多,但健康类app的数据泄漏十分引人注目,因为它们通常含有更隐私、更敏感的信息。他们还强调,许多健康类app虽然搜集了个人信息,但却并不需要遵守联邦病人隐私法——只要不和被该法律约束的人共享信息即可(如医生)。
Hzone的信息包括姓名、邮箱地址、生日、恋爱状态、孩子数量、性取向、性经历,以及诸如这样的信息:“嗨。我是三年前被确诊的,CD4和病毒载量都还好,所以目前没有吃药。我每过半年要进行一次血液检验,下一次是在六月份。我打算吃药,但是担心副作用。你经历过什么样的副作用呢?某某。”在这次泄漏中,出现了5,000名用户的数据。
同时,iFit泄漏了567,000名用户数据。它所收集的信息包括密码、体重、性别、地址、信用卡数据、锻炼数据(如心率、锻炼日期和时间等)。
Vickery表示,他是通过Shodan发现漏洞的。Shodan是一个搜索引擎,可以检索到几乎任何与网络相连的信息。当他发现了iFit和Hzone的数据库时,他意识到这些数据不应开被公开,于是他便向DataBreaches.net举报了此事。12月8日,他们联系了Hzone的开发者;但Hzone并未立即对他们的质问做出回应,并且过了五天才修复漏洞。
尽管这是我报道的规模最小的泄漏,但Hzone特别令我们失望,因为这些数据十分敏感。我们通过网站上的联系方式联系了他们,向他们发送了邮件(且邮件已被查阅),但却并未得到任何回应。
12月10日,Vickery通过邮件告知了iFit。该公司声称,他所发现的是一年前的测试数据库(但含有真实数据),并表示他们会撤掉这个数据库。周一,Vickery被告知问题已经解决了。
本周三,Hzone的首席执行官Justin Robert表示,泄漏发生于公司升级服务器期间,但他们很快就鉴定出了漏洞,并且立即加强了安全措施,确保服务器和数据库的安全。目前为止,他尚未通知用户,但表示会在网页上挂一个公告。
