您的位置:首页 >金融 >

63red Safe应用程序使其后端API无需身份验证即可在线公开

2019-03-19 11:45:08来源:

Yelp for conservatives'MAGA app漏掉了用户数据

63red Safe应用程序使其后端API无需身份验证即可在线公开。

MAGA帽子

据一位法国安全研究人员称,一种被称为“保守派Yelp”的新移动应用程序正在泄露用户记录和商业评论。

安全

'100个独特的漏洞和计数'用于最新的WinRAR安全漏洞

网络安全:不要让小东西给你带来大问题

为什么安全性是企业云采用的首要障碍[混合云电视]

红队帮助保护开源软件

这款名为“63red Safe”的应用程序以“保守保守安全”为座右铭,于周末在Apple和谷歌手机应用程序商店推出。

该应用程序将自身描述为一种服务,用户可以从保守的角度阅读或撰写“对当地餐馆和企业的评论,帮助确保您在购物和吃饭时保持安全!”

在媒体采访中,应用程序创建者斯科特·华莱士表示,他在一系列事件发生之后构建了该应用程序,保守派被迫离开或将MAGA设备带到餐馆吃饭或进入美国各地的各种业务。

但是根据法国安全研究员巴蒂斯特·罗伯特(Baptiste Robert)的说法,他以Elliot Anderson的笔名上网(机器人电视节目中关于黑客的主角的名字),63red Safe应用程序几乎泄漏了所有数据。

罗伯特说,应用程序的源代码包含其作者的凭据,但也包含一个API端点列表,它连接到该端点以存储或检索数据。

罗伯特说,这个后端API不使用任何形式的身份验证。这意味着任何人都可以查看应用程序的源代码,获取API端点,然后从应用程序的服务器中提取数据,而不会有任何挑战或限制。

图片:Robert Baptise

使用这种技术,法国研究人员能够确定自应用程序周末发布以来已有4,466位用户注册并创建了配置文件。

对于每个档案,罗伯特说他能够检索诸如用户名,电子邮件,头像,关注者数量,跟踪计数,个人资料创建/更新日期,禁令状态以及称为“热门评分”的信息。

图片:Robert Baptise

其他API端点还允许Robert阻止用户并篡改应用程序数据库日志并隐藏未经授权的入侵。

ZDNet今天早些时候在接受采访时询问罗伯特是否还可以篡改某些餐馆或企业的用户评论。

罗伯特告诉我们,“我没有参加考试,但我能做到几乎所有事情,坦率地说。”

当被问及为什么他会调查63red Safe应用程序时,研究人员说这是因为他在过去的另一个移动应用程序中发现了类似的漏洞。

“几个月前,我在发布后三小时分析了Donald Daters应用程序。我认为分析同样类型的'唐纳德特朗普'相关应用程序很有趣,”他告诉ZDNet。

至于63red及其用户的安全性,研究人员表示,他没有通知公司他的调查结果,他在Twitter帖子中公开表示。

“我没有联系他们,”罗伯特告诉我们。“我想说我真的不喜欢特朗普的粉丝。”

该公司还开发了另外两个专注于保守派的应用程序,名为63red News和63red Talk,另一个名为63red Gather。罗伯特尚未调查这些应用程序,但他告诉ZDNet他会。

ZDNet今天早些时候已联系63red及其创始人关于Robert的调查结果,因此公司可以采取行动并更新其应用程序以保护用户的数据。

“我们非常重视此事,并已采取措施进一步保护我们的数据,”公司发言人通过电子邮件告诉ZDNet。“我们的用户和一般保守派的安全是我们首要关注的问题,我们将继续以任何可能的方式改进我们的系统,以保证他们的安全。”

该公司表示,“注意到原始问题的个人从未获得任何用户密码的访问权限,他们也无法更改或更改我们服务器上的任何数据,也无法登录我们的服务器或直接访问我们的数据库。”“他们能够访问的敏感信息现在已得到额外保护。”

“正如我们在美国所看到的那样,保守派尤其受到政治信仰的攻击 - 无论是口头,身体还是电子方面。这在自由社会中是不可接受的,我们将采取一切行动阻止它,并协助我们的用户在那。

“我们认为这个人非法且失败了尝试访问我们的数据库服务器作为政治动机的攻击,并将在今天晚些时候向FBI报告,”63red补充说。“我们希望,正如许多其他出于政治动机的互联网攻击一样,这个肇事者将被绳之以法,我们将在法律的最大程度上追究此事和所有其他攻击。我们记录所有针对我们所有服务器的活动,并将这些日志作为犯罪证据。