美国NBC的一份报道称,一款名为Grindr的交友应用程序存在两个安全问题,它可以暴露超过300万用户的信息,包括那些选择不共享这些信息的人的位置数据。此次漏洞是由房地产管理公司AtlasLane的首席执行官TreverFaden在创建了一个名为C*ckblocked的网站后发现的,他的网站允许用户在Grindr输入Grindr用户名和密码后查看谁屏蔽了他们。一旦用户登录成功后,Faden就可以访问用户档案中没有公开的用户数据,包括未读消息、电子邮件地址、删除的照片以及用户的位置信息。这在同性恋被定为犯罪的地方,利用用户位置数据会将同性恋者处于危险境地。
Grindr为全球较大的同性社交网站,用户主要为男性,其在今年的1月初被北京昆仑万维科技股份有限公司收购(现持有Grindr100%的股权),其拥有的用户超过几百万遍布234个国家。
Faden利用的漏洞和英国剑桥分析公司通过漏洞在用户毫不知情的情况下收集5000万Facebook用户数据的安全漏洞很相似,这不需要大量的技术技能,就可以很容易地找到用户的准确位置。这也凸显了人们在使用社交媒体账号登录其他服务时面临的风险。
Grindr软件会公开许多用户的位置信息,但是它允许用户禁用该功能,但是Faden发现,如果用户通过他的第三方网站连接他们的Grindr配置文件,他可以找到那些选择禁用该功能的用户的位置。
Faden还发现了一个与位置信息相关的安全漏洞,该漏洞不要求用户使用Grindr凭证登录任何第三方应用程序或网站。Grindr要求用户将位置数据发送到服务器,以便应用程序正常工作。但是其中一些信息没有被编码,这意味着通过监控网络流量(如国家政府监控的公共WiFi网络上)就可以识别出任何打开该应用程序的用户位置。
Grindr于3月19日声明表示其会迅速采取行动,以解决这个问题,并提醒用户不要将用户名密码泄露给任何第三方,因为它们未被Grindr授权。Faden也表示他未分享或收集任何用户数据,并告知Grindr公司,关闭他创建的网站。
Grindr用户的位置数据特别敏感。Grindr在全球234个国家和地区拥有用户。根据国际女同性恋、男同性恋、双性恋、变性和跨性别协会(ILGA)2016年的一份报告,在70多个国家,同性恋是非法的,其中13个国家实施了对同性恋行为的死刑。因此,在同性恋被定为犯罪的地方,利用用户位置数据会将同性恋者处于危险境地。
