健身应用 PumpUp 泄露用户个人资料

流行的健身应用程序 PumpUp 今天发布声明称超过600万用户的私人敏感数据被泄露, 包括用户的健康信息和用户之间发送的私人信息。

该公司的一个核心后端服务器托管在亚马逊的云,被暴露竟然没有设置密码,任何人可以查看服务器上的用户登录信息和消息。

根据ZDnet报道,服务器的密码已经更新,现在是安全的,但当它充当用户消息交换代理时, 它仍在暴露数据。它使用了一个鲜为人知的 MQTT 协议,通常用于物联网设备和手机应用之间通信。这是一个低带宽的协议,降低了服务器成本和数据开销。该协议是一个临时协议,任何人都可以看到实时数据流。每当用户向其他用户发送消息时,应用程序就会泄露用户的配置信息和消息的内容。

被泄露的数据包括电子邮件地址、出生日期、性别, 以及用户所在地和时区的城市或城镇。该数据还包括用户的生物指标、锻炼和活动目标,用户头像等。

安全研究员奥利弗.霍夫发现了这个问题,并在一周前向ZDNet透露了消息,同时通知了PumpUp。