Techcrunch报导知名孩童关注app React底层的MongoDB数据库未设密码,使将近23万8000名用户的姓名、照片等个人信息、即时所在位置都可能遭外人访问。
React是澳洲开发商React Apps开发的同名产品,这款app以提供即时监控家中孩童、配偶或可能迷路的长者所在地点而闻名。上周GDI安全研究人员Sanyam Jain发现,React用来存储用户数据的云计算MongoDB数据库未设密码,可让知道正确路径的人轻易访问。研究人员发现,238,000名用户个人信息已经曝险不知多久时间,因而向Techcrunch通报。
根据分析,这些数据中每个用户帐号下的用户名、电子邮件、用户照片及明文存储的密码等个人信息。此外还有用户及其家人的即时所在位置。若用户设置过地理围栅(geo-fencing),则还会看到这些地方的座标、以及用户设置为“家”、“公司”等名称。
媒体随机抽取了其中几位用户后联系,结果证实这些数据真的可以反映出用户及其孩童的即时地点。
这家App厂商不仅网页未提供公司联系方式,连隐私政策页及公司登记数据中也都付之阙如,使媒体始终未能联络上,最后仅能通过托管MongDB的微软Azure部门联系。数小时后数据库终于下架。不过数据库门户洞开倒底持续多久不得而知,该公司最后仍然未证实数据可能外泄一事。