Techcrunch報導知名孩童追蹤app React底層的MongoDB資料庫未設密碼,使將近23萬8000名用戶的姓名、相片等個資、即時所在位置都可能遭外人存取。

React是澳洲開發商React Apps開發的同名產品,這款app以提供即時監控家中孩童、配偶或可能迷路的長者所在地點而聞名。上周GDI安全研究人員Sanyam Jain發現,React用來儲存用戶資料的雲端MongoDB資料庫未設密碼,可讓知道正確路徑的人輕易存取。研究人員發現,238,000名用戶個資已經曝險不知多久時間,因而向Techcrunch通報。

根據分析,這些資料中每個用戶帳號下的使用者名稱、電子郵件、用戶相片及明文儲存的密碼等個資。此外還有用戶及其家人的即時所在位置。若用戶設定過地理圍柵(geo-fencing),則還會看到這些地方的座標、以及用戶設定為「家」、「公司」等名稱。

媒體隨機抽取了其中幾位用戶後聯繫,結果證實這些資料真的可以反映出用戶及其孩童的即時地點。

這家App廠商不僅網頁未提供公司聯絡方式,連隱私政策頁及公司登記資料中也都付之闕如,使媒體始終未能連絡上,最後僅能透過代管MongDB的微軟Azure部門聯絡。數小時後資料庫終於下架。不過資料庫門戶洞開倒底持續多久不得而知,該公司最後仍然未證實資料可能外洩一事。


Advertisement

更多 iThome相關內容