dkzlv.com

Сервис анонимных сообщений Whisper неизвестное время держал открытой всю свою базу данных

Организация Whisper
Локация 🌏 Весь мир
Теги
Началось
Закончилось 10.03.2020
Возможные жертвы >250 000 000
Источник www.washingtonpost.com

Маркетинг и реальность — увы, штуки слабо связанные.

Whisper заявляет во всеуслышанье, что делают сервис анонимных сообщений. Помню, когда они взлетели у нас, это была помойка из сливов о лапающих девушек работодателях, признаний в убийствах и всяких мерзких штуках, вроде рассказов о том, как человек жрал червей с землёй, когда ему было скучно на даче.

Но, как обычно, анонимность в их случае — очень пустое обещание. Ладно бы у них политика конфиденциальности такая, что они могут любым властям давать любые данные — бог с ним. Оказалось, что они держали всю свою базу открытой — предположительно, годами. Без пароля.

Ресерчеры накопали, в принципе, всё, что было в приложении. Кто не использовал, тому подсказка: все сообщения, все геолокации, ну и геолокации в привязке к сообщениям, конечно. Помимо этого, все пользовательские профили с их данными: возраст, пол, город, участие в группах, в том числе и весьма чувствительных.

Давайте нарисую картинку для вас: вы один из полутора миллионов детей до 15 лет, зарегистрированных в этом приложении; поведясь на анонимность, решили выложить свои реальные переживания и проблемы туда, надеясь на какую-то помощь; может даже, опасаясь непонимания родителей, учителей и одноклассников, решили вступить в группу, отвечающую вашей ориентации. А потом эту дыру в сервисе вскрывает не ресерчер, а какой-нибудь приколист (судя по данным слива, там не надо было быть кулхацкером, чтобы подсоединиться к базе), который просто пушит это всё в паблик. С никами, возрастом и геолокацией (вроде школьной столовки или домашних адресов).

Ммм, на губах этот прекрасный и незабываемый вкус отлично реализованной анонимности.