1. 程式人生 > >看似鍵盤應用伺服器發生資訊洩露,其實就是在收集使用者隱私資訊

看似鍵盤應用伺服器發生資訊洩露,其實就是在收集使用者隱私資訊

最近又有一家公司因為伺服器防護不周,導致大量使用者資訊洩露,從而暴露了自己私下蒐集使用者資訊的行為。

流行虛擬鍵盤應用 AI.type伺服器上儲存的3100萬用戶資訊遭到洩露,包括使用者的完整名字、電子郵件地址,以及應用安裝的時長,每條記錄還包括使用者的精確位置,如城市和國家,總量達到577 GB。

洩露原因是儲存資訊的伺服器未受到加密保護,遭受攻擊導致資訊洩露。

伺服器攻擊就不說了,一個鍵盤應用憑啥儲存這麼多使用者資訊呢

原來,現在大資料風行,企業只要掌握了使用者行為資料,就可以有的放矢地推送服務或廣告,精準度比廣撒網要高得多,廣告客戶自然願意埋單。

這樣看來,鍵盤公司儲存使用者資訊也就不足為奇——使用者的鍵盤行為幾乎包含其所有的資訊,喜歡吃的東西、討厭的玩意、甚至銀行賬戶和密碼,精準廣告還不是一播一個準。

AI.type的免費版裡就在蒐集和上傳大量使用者資訊,包括裝置的 MSI 和 IMEI,型號,螢幕解析度和 Android 版本,甚至還有手機號碼、服務商、IP 地址,使用者公開的 Google 賬號資訊,使用者在裝置上安裝的應用列表等——這些資料對於一個鍵盤應用本身並無意義。

毋庸置疑的是,很多使用者都要對AI.type開罵了,其實AI.type做的事情,很多公司(甚至是所有)都在做,只是這一切進行得都是偷偷摸摸的,往往不會明白地告知使用者,而只有遇到特殊狀況時——比如遭受網路攻擊,企業暗地裡的行為才會被暴露。

Exodus Privacy與Yale Privacy Lab最近進行了一項聯合研究——在300多個Android應用程式中,發現了44款跟蹤元件,超過四分之三的應用程式嵌入了至少一款跟蹤元件。

我們需要警惕的是,還有無數的公司——未來會更多,它們正在努力蒐集一切能夠得著的使用者資料,以各種方式將其變現,隱私被利用是一方面,另一方面,當這些公司出現危機,比如伺服器漏洞,使用者的隱私就變成黑客的財產,甚至黑客可以在軟體商動動手腳,以取得更大範圍的敏感資料(參看有防毒軟體作防護,資料還會洩密嗎/為擴大供應鏈攻擊,優化工具CCleaner被植入後門程式碼)。

手機裡的簡訊、郵件、通訊錄、照片等,一旦淪為其攻擊目標,必然對使用者形成安全威脅。

文章來源於 商務密郵 郵件安全中心