HIV患者約會App洩漏5千使用者資料

類別: 新奇

HIV患者約會App洩漏5千使用者資料

網路安全研究員Chris Vickery最近發現,兩個健康類app洩漏出了使用者資料,其中一個是HIV陽性患者的約會軟體“Hzone”,而另一個則是健身app“iFit”。首次對此進行報導的網路安全部落格DataBreaches.net稱,此次洩漏至少從11月末(Hzone)和上週(iFit)開始,它使得使用者個人資訊處於易被攻擊狀態。截止本週一,漏洞已被修復。

儘管涉及人數不算多,但健康類app的資料洩漏十分引人注目,因為它們通常含有更隱私、更敏感的資訊。他們還強調,許多健康類app雖然蒐集了個人資訊,但卻並不需要遵守聯邦病人隱私法——只要不和被該法律約束的人共享資訊即可(如醫生)。

Hzone的資訊包括姓名、郵箱地址、生日、戀愛狀態、孩子數量、性取向、性經歷,以及諸如這樣的資訊:“嗨。我是三年前被確診的,CD4和病毒載量都還好,所以目前沒有吃藥。我每過半年要進行一次血液檢驗,下一次是在六月份。我打算吃藥,但是擔心副作用。你經歷過什麼樣的副作用呢?某某。”在這次洩漏中,出現了5,000名使用者的資料。

同時,iFit洩漏了567,000名使用者資料。它所收集的資訊包括密碼、體重、性別、地址、信用卡資料、鍛鍊資料(如心率、鍛鍊日期和時間等)。

Vickery表示,他是通過Shodan發現漏洞的。Shodan是一個搜尋引擎,可以檢索到幾乎任何與網路相連的資訊。當他發現了iFit和Hzone的資料庫時,他意識到這些資料不應開被公開,於是他便向DataBreaches.net舉報了此事。12月8日,他們聯絡了Hzone的開發者;但Hzone並未立即對他們的質問做出迴應,並且過了五天才修復漏洞。

12月10日,Vickery通過郵件告知了iFit。該公司聲稱,他所發現的是一年前的測試資料庫(但含有真實資料),並表示他們會撤掉這個資料庫。週一,Vickery被告知問題已經解決了。

本週三,Hzone的執行長Justin Robert表示,洩漏發生於公司升級伺服器期間,但他們很快就鑑定出了漏洞,並且立即加強了安全措施,確保伺服器和資料庫的安全。目前為止,他尚未通知使用者,但表示會在網頁上掛一個公告。

[蛋花 via buzzfeed]

HIV患者約會App洩漏5千使用者資料原文請看這裡