資訊保安

數據庫沒加密毋須密碼 大陸軟件 Boomoji 洩露大量用戶資料

Published by
唐美鳳

全球用戶數目超過 530 萬的大陸手機軟件 Boomoji,最近被發現使用沒有保安的 ElasticSearch 伺服器,導致用戶的資料大規模外洩。Boomoji 是一個為用戶製作 3D 卡通頭像的軟件,有 Android 和 iOS 版本。發現漏洞的網站 TechCrunch 指,Boomoji 的數據庫沒有密碼保護,亦沒有加密。

兩個 ElasticSeach 數據庫分別儲存在美國香港,前者儲存國際用戶的資料,後者則儲存中國用戶的資料。據悉數據庫內有用戶登入名稱、性別、國籍、手機型號、Boomoji ID、用戶的學校、超過 37.5 萬個用戶地理位置,更甚的是如果用戶開放權限,軟件更會將通訊錄上傳。報導指數據庫內有至少 1.25 億組電話號碼和名稱,今次資料外洩就連沒有安裝 Boomoji 的人亦受影響。

來源:infosecurity-magazine

Published by
唐美鳳