芯科技消息(文/Allis)硅谷各大公司员工爱用的匿名平台Blind日前传出数据服务器(databaseserver)出现漏洞,有超过一个月的时间都没有设置密码,恐让有心人士通过管道取得用户信息,辨认出抱怨者的身份。苹果、脸书、Google、微软、推特、Uber等公司员工都是Blind的爱用者,其匿名发言的特性让许多人都会用来抒发对于工作的不满,或是揭露公司的不当行为。在美国时间周四时Blind透过邮件告诉受到影响的用户们,他们在开发内部工具时,发现了有个错误会泄漏用户的资料。根据《TechCrunch》报导,Blind的经理KyumKim表示这个漏洞只会影响到在11月1日至12月19号注册或登入的用户,且该项漏洞只与他们众多服务器中的其中一台有关。Kim表示没有任何证据显示有资料遭到滥用,但并没有告知他们是如何得出这项结论的。当《TechCrunch》问及这项消息,Blind也不愿说明是否已向美国的调查员说明这件事,而Blind执行长SungukMoon并没有对此做出回应。Blind让用户使用公司的信箱进行注册,并绑定Blind的会员ID。同时表示信箱只是用来认证用户身分,让他们可以匿名的和同公司的其他人聊天,Blind也宣称他们没有把用户的公司信箱储存在他们的服务器内。Blind也在网站上表明他们的电子邮件认证系统非常安全,无法透过电子信箱追踪用户在Blind上的活动。但是在《TechCrunch》检视遭泄漏的数据后,他们发现该公司有些宣言站不住脚。《TechCrunch》发现,该数据会实时串流用户的登入信息、贴文、评论和其他互动,让任何人都可以看到私人的发文和留言,也会显示用户之间的未加密讯息,且他们也发现有些人的昵称还是与信箱有所关连,所以他们认为还是有可能可以透过这一点去识别发文者的身份。同时,该数据还以非常老旧的MD5算法储存密码,《TechCrunch》表示,这项技术在现代很容易就能被破解,但Kim否认这件事,并强调他们使用的是较新型的SHA2算法。《TechCrunch》认为,虽然这个应用平台的初衷很好,但数据库的漏洞却让用户面临了风险。且这些用户并不只是一般用户,而是硅谷公司的员工,他们会在平台上面发表职场文化、待遇以及职场性骚扰等议题,他们愿意发言的原因在于相信Blind会保护好其个人资料,让他们能够以匿名的方式畅所欲言,但Blind的疏失却可能使他们身份暴露。(校对/团团)
转载请注明:http://www.0431gb208.com/sjszyzl/7527.html
