網路安全世界又多了一樁諷刺的案例。
美國維吉尼亞州一家公司開發了一款名為 uKnowkids 的「數位管教」軟體,宣稱提供了絕佳的網路安全保護。此應用程式可追蹤孩子的數位生活,從孩子在社群媒體上的行為、到保護孩子免於網路誘拐。但諷刺的是,該公司卻發生了一起重大資料外洩事件,使令人不得不質疑其宣稱的承諾。
根據研究人員 Chris Vickery 發現,此事源於該公司的 MongoDB 資料庫設定錯誤,導致資料庫遭到駭入,大量的 Android 和 iPhone 手機資料因而外洩。其中包括從 1,700 名兒童的 Android 和 iPhone 手機上蒐集到的個人檔案資訊,如:姓名、電子郵件地址、社群媒體登入資訊、GPS 定位、生日,以及近 700 萬筆私人訊息和近 200 萬張照片 (含帳號持有人的小孩照片在內)。此次資料庫外洩在被發現、通報、並迅速修正之前,資料外洩的漏洞早已暴露了 48 天以上。
uKnow 和 uKnowkids 執行長 Steve Woda 在其署名的一份聲明當中證實了前述資料外洩事件:「我要以非常沉重的心情向大家宣布,uKnow 的某個內部資料庫在 2016 年 2 月 16 日和 2 月 17 日兩天分別遭某駭客從兩個不同的 IP 位址駭入。」
雖然該公司尚未透露此事件的詳細經過,但 Woda 在聲明當中提到了此事,並且說明此資料庫漏洞在被發現後的 90 分鐘內已經修復:「過去幾天,我們一直在追查事情的真相,並且針對『所有』uKnow 系統進行分析蒐證。我們打算將『所有』相關的事證提供給客戶、媒體及相關法律單位,我們有自信這些事證的正確性百分之百。」
此外,Woda 也在聲明中提到其外洩的資料範圍不僅涵蓋了「uKnowKids 協助家長提供網路及手機安全的其中 0.5% 的兒童」,還包含該公司的「大量業務資料、商業機密以及 uKnow 最重要的一些關鍵技術背後的獨家演算法。」 繼續閱讀
