網路安全世界又多了一樁諷刺的案例。
美國維吉尼亞州一家公司開發了一款名為 uKnowkids 的「數位管教」軟體,宣稱提供了絕佳的網路安全保護。此應用程式可追蹤孩子的數位生活,從孩子在社群媒體上的行為、到保護孩子免於網路誘拐。但諷刺的是,該公司卻發生了一起重大資料外洩事件,使令人不得不質疑其宣稱的承諾。
根據研究人員 Chris Vickery 發現,此事源於該公司的 MongoDB 資料庫設定錯誤,導致資料庫遭到駭入,大量的 Android 和 iPhone 手機資料因而外洩。其中包括從 1,700 名兒童的 Android 和 iPhone 手機上蒐集到的個人檔案資訊,如:姓名、電子郵件地址、社群媒體登入資訊、GPS 定位、生日,以及近 700 萬筆私人訊息和近 200 萬張照片 (含帳號持有人的小孩照片在內)。此次資料庫外洩在被發現、通報、並迅速修正之前,資料外洩的漏洞早已暴露了 48 天以上。
uKnow 和 uKnowkids 執行長 Steve Woda 在其署名的一份聲明當中證實了前述資料外洩事件:「我要以非常沉重的心情向大家宣布,uKnow 的某個內部資料庫在 2016 年 2 月 16 日和 2 月 17 日兩天分別遭某駭客從兩個不同的 IP 位址駭入。」
雖然該公司尚未透露此事件的詳細經過,但 Woda 在聲明當中提到了此事,並且說明此資料庫漏洞在被發現後的 90 分鐘內已經修復:「過去幾天,我們一直在追查事情的真相,並且針對『所有』uKnow 系統進行分析蒐證。我們打算將『所有』相關的事證提供給客戶、媒體及相關法律單位,我們有自信這些事證的正確性百分之百。」
此外,Woda 也在聲明中提到其外洩的資料範圍不僅涵蓋了「uKnowKids 協助家長提供網路及手機安全的其中 0.5% 的兒童」,還包含該公司的「大量業務資料、商業機密以及 uKnow 最重要的一些關鍵技術背後的獨家演算法。」
他進一步指出,入侵其內部資料庫的兩次不同 IP 位址皆可追溯至美國德州奧斯丁 (Austin) 一位叫 Vickery 的「白帽駭客」,不過目前並未進一步獲得證實。他說:「Vickery 先生於美國中部時間 2016 年 2 月 17 日 (三) 凌晨 3:45 至 3:55 之間下載了 uKnow 的資料庫。並且在最後一次從 IP 位址 209.144.254.123 入侵並擷取了我們智慧財產、業務資料、客戶資料的畫面抓圖之後,便通知 uKnow 他已入侵了我們的內部系統。」
此聲明引發了 Woda 和 Vickery 之間的激烈論戰:一方控訴前者輕忽了客戶的敏感資訊,未能妥善保護其資料庫安全;另一方則質疑後者所謂的「善意」通知。
Woda 表示該公司已向美國聯邦貿易委員會 (FTC) 請示接下來該如何處理,並且重申該公司絕對遵守「兒童網路隱私權保護法案 (COPPA)」所訂定的規範。根據 COPPA 的規定,像 uKnowkids 這樣的公司必須「建立並落實一套合理的程序來保護從兒童蒐集之個人資訊以保障其私密性、安全性及完整性」。Vickery 表示該公司已明顯違反這項規定。
Vickery 在其聲明中提到:「隨著『兒童追蹤』軟體及服務越來越受歡迎,這事件可說是一大警訊,讓整個產業正視該如何保管、加密、保護從兒童蒐集到的資訊。」
Woda 因自己親兄弟的小孩發生在網路上被人誘拐的事件,因而促使他開發了這款兒童追蹤軟體。該軟體的初衷就是希望能開啟兒童與家長對於網路隱私及風險的對話,讓家長「開始和孩子討論有關數位公民的問題與負責任的上網行為」。該公司強調,此軟體是要為兒童提供一層額外的保障,並不是要變成一種間諜軟體。
但諷刺的是,uKnowkids 可讓家長隱藏該軟體而不讓孩子發現的功能卻引發質疑,違背其希望家長與孩子之間能夠開誠布公的理念。此外,該軟體的使用條款與條件也引來撻伐,因為其條款當中聲明該公司不承擔任何資料外洩的責任,而且新的會員基本上都必須接受這項條款。
就在不到兩個月前,VTech 才爆發過資料外洩事件,歹徒從該公司的資料庫偷走了客戶的姓名、生日、帳號資訊以及超過 190 GB 的相片。此外,該公司去年 12 月 24 日發布的新版使用條款與條件也激起了消費者和資安專家的怒火,因為他們將資料外洩的過失和責任推卸到客戶身上,加入了以下條款:「您知悉並同意您在使用該網站期間所傳送或接收的資訊可能不安全,並且可能遭到非經授權人士從中攔截或事後取得。」
有關兒童資訊保護的缺失和資料外洩問題還不只這樁。就在 VTech 發生資料外洩的同一個月,Mattel 公司的 Hello Barbie 也被研究人員發現一個可讓駭客竊聽玩具與伺服器之間通訊內容的漏洞。在該月初,另一位研究人員也發現 Mattel 旗下 Fisher-Price 品牌的 Smart Toy Bear (智慧玩具熊) 含有漏洞。
截至本文撰稿為止,Woda 表示其軟體的客戶都已收到適當通知,並且也針對新的客戶增加了一些安全措施。雖然該公司目前仍未公開任何更深入的細節,但他們保證會加強內部管控並採取嚴格的安全措施來保護客戶。
Vickery 在一項聲明中表示:「我們相信,保護兒童的數位身分,就像保護兒童的社會安全號碼與其他敏感資訊一樣重要。缺乏安全的兒童資訊蒐集作法,很可能導致資訊遭到濫用並引發人身安全風險,這是任何家長都不想見到的夢魘。」
原文出處: Child Tracker App uKnowkids Data Leak Exposed Weak Database
延伸閱讀:
PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
