当前位置:安全资讯 >> 全文

Ai.type不慎泄露3100万用户的个人数据 信息详细程度令人咋舌

发布时间:2017-12-6 8:51 标签: ai.type,个人数据
分享到 0

在数字化时代,有一句话非常流行:如果你不付费,那么你就不是消费者,而是产品。

多数用户并不知道在智能手机上下载app会导致多少个人信息遭收集。相信我,收集的数据比你想象的要多得多。如今很多app开发人员的行为都是不负责任的,能说明这个问题的最佳例子就是流行虚拟键盘app泄露用户个人数据的事件。

无密码保护,任何人可下载3100万用户详情

这款虚拟键盘appAi.typeKromtech安全中心的研究人员发现这款app不慎将3100万用户的个人数据暴露在网上。无需密码,任何人均可下载这些数据。

Ai.type成立于2010年,是一款针对移动手机和平板的可自定义化和可个人化的虚拟键盘,它的用户数量超过4000万且遍布全球。

这家位于以色列特拉维夫的创业公司Ai.type所拥有的一个MongoDB数据库配置错误,导致大小为577 GB的数据库全部暴露在网上,其中包含的用户敏感详情数量令人吃惊,而这些详情并非app运行所需要的信息,“他们似乎在收集用户的所有信息,从通讯录到击键不一而足”。

收集的个人数据极其详细

这份包含3100多万用户的被泄数据库内容包括:

l  姓名全名、电话号码和邮件地址

l  设备名称、屏幕分辨率和机型详情

l  安卓版本、IMSI号码和IMEI号码

l  移动网络名称、居住地所在国、甚至包括用户启用的语言

l  IP地址(如有)以及GPS位置(经纬度)

l  跟社交媒体资料相关的链接和信息,包括出生日期、邮件、照片等

研究人员指出,“当安装Ai.Type时发现用户必须允许该app对所存储在测试机iPhone上的所有数据拥有‘完全访问权限’,包括过去和现在的所有键盘数据。”这让研究人员非常惊讶。

另外,被泄数据库还窃取用户的通讯录,包括联系人的姓名和电话号码,而且已经搜刮了3.73亿份记录!

研究人员表示,数据库还收集很多其它数据,比如不同地区最流行的用户谷歌查询数据、每天的平均信息量、每条信息的字数、用户年龄、words_per_day': 0.0'word_per_session等等。为何一款键盘、表情应用需要收集如此多的个人数据?

安全意识是最佳防御措施

即使是最近爆发的多起数据泄露事件也教会我们认清一个事实:如果自己的个人数据落入网络犯罪分子之手,那么我们易受攻击的期限是永远。因此,自我保护的最佳防御措施一直都是:具备安全意识。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://thehackernews.com/2017/12/keyboard-data-breach.html
参与讨论,请先 登录 | 注册

用户评论