Jack‘d是一款流行的针对同性恋和双性恋男性的社交应用,在全球拥有超过500万用户。
在2019年2月有报道称,该应用程序的近2000名用户通过一个不安全的亚马逊网络服务简单存储服务(S3)桶曝光后,该应用的母公司在线好友遭到了抨击,纽约州总检察长办公室随后也展开了调查。
公开的数据包括用户简介照片、果照和用户位置,这些信息可能使用户在某些国家面临被逮捕的风险。更糟糕的是,尽管安全研究员奥利弗·霍夫(OliverHough)在2018年2月通知了该公司的高级管理团队,他发现了这一问题,但直到一年后,在媒体的报道开始曝光后,该公司才修复了这一错误。
对于罚款这件事,霍夫告诉Threatpost:“我认为这也是对那些公然不重视隐私的公司做出了一个警告,不一定是坏事。”
Jack'd 让用户可以选择公共页面上发布照片,或者在只能供应用程序用户选择的个人页面上发布照片。而在这个私人页面上,该应用程序允许果照,并向用户承诺,采取了“合理的预防措施”,会严格保护他们的个人信息免受未经授权的访问。
尽管如此,调查发现,在线伙伴未能确保私人照片和其他数据的安全,数据是完全开放的,以便在打开的AmazonWebServicesS3桶中使用。
公开的数据还包括Jack‘d用户的设备ID、操作系统版本、最后登录日期和密码,以及最后登录使用的时间。
Hough告诉ThreatPost,外部方无法判断是否有人访问了这些数据。在线好友没有回复来自Threatpost的评论请求。
数据披露后介入调查,公司不得赔付240 000美元,并承诺进行重大改革来改善安全状况。
司法部长Letitia James在一份声明中说:“这款应用将用户的敏感信息和私人照片被曝光,并且该公司整整一年都没有对此采取任何行动,只是为了让他们能够继续盈利。”
“这是对成千上万纽约人隐私的侵犯。今天,全国各地千百万人,包含各种性别、种族、宗教和性行为,每天都在网上聚会和约会,我们一定竭尽所能保护他们的隐私。“
约会应用程序对用户收集的个人数据将进行严格的审查。根据ProPrivacy最近的一份报告,Match.com和Tinder等约会应用程序收集位置、聊天信息内容和更多个人资料如娱乐性吸毒史、收入水平、性取向、宗教观等。
与此同时,其他约会应用程序也重视了自己的安全问题。