據(jù)外媒TechCrunch報道，True自稱是一款能夠“保護你的隱私”的社交網(wǎng)絡(luò)應(yīng)用。但由于安全漏洞，該公司的一臺服務(wù)器卻曝光了用戶私人數(shù)據(jù)。這款應(yīng)用于2017年由Hello Mobile推出，Hello Mobile是一家虛擬手機運營商，依附于T-Mobile的網(wǎng)絡(luò)。

True官方網(wǎng)站介紹稱，公司已經(jīng)籌集到1400萬美元的種子基金并稱在推出后不久就擁有超50萬名的用戶。

但該應(yīng)用的一個數(shù)據(jù)庫的控制面板在沒有密碼的情況下被暴露在網(wǎng)上，其允許任何人閱讀、瀏覽和搜索該數(shù)據(jù)庫--其中包括私人用戶數(shù)據(jù)。

迪拜網(wǎng)絡(luò)安全公司SpiderSilk的首席安全長Mossab Hussein發(fā)現(xiàn)了這個被暴露的控制面板并向TechCrunch提供了詳細信息。來自搜索引擎BinaryEdge提供的數(shù)據(jù)顯示，該曝光早在9月初就已經(jīng)發(fā)生。

在TechCrunch聯(lián)系True之后，這家公司對控制面板進行了離線處理。

True CEO Bret Cox雖然向Techcrunch證實了安全漏洞的存在，但并沒有回答他們提出的具體問題，包括該公司是否計劃通知用戶存在安全漏洞或否計劃根據(jù)州數(shù)據(jù)泄露通知法向監(jiān)管機構(gòu)披露該事件。

據(jù)了解，控制面板包含了從今年2月開始的每日服務(wù)器日志，像用戶注冊的電子郵件地址或電話號碼、用戶之間的私人帖子和消息內(nèi)容以及用戶最后已知的地理位置--這些地理位置則可以識別用戶過去或曾經(jīng)的位置。另外，控制面板還會暴露用戶上傳的電子郵件和電話聯(lián)系方式，True會在應(yīng)用中使用這些信息來匹配已知的朋友。并且這些數(shù)據(jù)都沒有進行加密處理。

TechCrunch通過創(chuàng)建一個測試賬號并要求Hussein提供只有他們自己知道的數(shù)據(jù)如注冊賬號時使用的電話號碼確認了這一情況。

Hussein指出，控制面板還對外泄露了賬號訪問令牌，這些令牌可以用來入侵和劫持任何用戶的賬號。雖然這些賬號訪問令牌看起來像一行隨機的字母和數(shù)字，但用戶無需每次輸入就可以登錄到應(yīng)用中。Hussein就使用TechCrunch的測試帳號在控制面板中找到了后者的訪問令牌，并使用它訪問其帳號并在上面發(fā)布消息。

此外，控制面板還顯示了一次性登錄代碼，True會將這些代碼發(fā)送到與賬號關(guān)聯(lián)的電子郵件地址或電話號碼，而不是存儲密碼。

True表示，在刪除賬號后與其有關(guān)的所有內(nèi)容都會從該公司的服務(wù)器被清除。然而TechCrunch經(jīng)過測試發(fā)現(xiàn)事實并非如此，他們?nèi)钥梢栽诳刂泼姘迳纤阉鞯狡渌饺诵畔?、帖子和照片等?/p>

目前，TechCrunch無法聯(lián)系到Hello Mobile的發(fā)言人。