熱血時報 | Sarahah被揭存私隱漏洞 未得同意下上傳用戶資料

Sarahah被揭存私隱漏洞 未得同意下上傳用戶資料



Sarahah被揭存私隱漏洞 未得同意下上傳用戶資料


(網絡圖片)

近期有一個暱稱「誠實app」的Sarahah廣受歡迎,但外媒報道,有安全顧問公司分析員指,Sarahah會在未取得用戶同意下,就上傳用戶的資料及聯絡通訊錄。

根據《financial express》報道,Sarahah需要用戶安裝手機app或在其網站上進行注冊,然後再分享到社交網站,其他人則可以匿名在該帖上留言,並說出真心話。

不過安全顧問公司Bishop Fox分析員Zachary Julian指,Sarahah存在安全漏洞,會洩露用戶私隱。Julian表示,他用手機下載Sarahah app後,再上載資訊,但其手機內的監控軟件Burp Suite顯示,Sarahah 在沒有取得用戶同意下,下載其手機數據、通訊錄的聯絡人資料。

Sarahah創辦人Tawfiq回應事件時指,程序要通訊錄的資料,是為了方便尋找「朋友」的功能,但技術上未能做到,而負責項目的技術人員亦已離職,故未能移除該功能。他強調,收集了的資料沒有儲存在伺服器內,又承諾下次更新Sarahah時,將會已上傳的數據刪除。

作者
讀者回應