團(tuán)體約會(huì)應(yīng)用程序3Fun暴露了實(shí)時(shí)位置和私人照片

3Fun是一個(gè)約會(huì)應(yīng)用程序，用于安排擁有150萬(wàn)以上用戶的三人行，并顯示敏感信息，包括實(shí)時(shí)位置和私人照片。

Pen Test Partners 發(fā)現(xiàn)該應(yīng)用程序缺乏安全性，該公司聲稱3Fun具有“可能是我們見(jiàn)過(guò)的任何約會(huì)應(yīng)用程序中最糟糕的安全性”，而用戶數(shù)據(jù)均未受到加密保護(hù)。

根據(jù)Pen Test Partners的說(shuō)法，其他約會(huì)應(yīng)用程序(如Grindr)過(guò)去曾通過(guò)三邊測(cè)量法公開(kāi)用戶位置信息，該技術(shù)通過(guò)欺騙GPS位置來(lái)利用應(yīng)用程序中的“與我之間的距離”功能，從而抓住了一個(gè)人的確切位置。

但是，3Fun提取了用戶的緯度和經(jīng)度坐標(biāo)，即使他們限制了該信息的發(fā)送，數(shù)據(jù)仍然在服務(wù)器上。通過(guò)它，Pen Test Partners能夠確定幾個(gè)主要城市中的約會(huì)應(yīng)用程序用戶的位置。有些甚至在白宮，美國(guó)最高法院和倫敦唐寧街10號(hào)被發(fā)現(xiàn)，盡管它們可能是在欺騙自己的位置。

筆測(cè)試合作伙伴還發(fā)現(xiàn)，即使3Fun上的人使用了適當(dāng)?shù)碾[私設(shè)置，他們的私人照片也被暴露了。其他公開(kāi)的用戶信息包括生日，性別，性取向和偏好的匹配項(xiàng)。此外，用戶可能會(huì)欺騙他們的位置，以查找有關(guān)特定區(qū)域中其他用戶的信息。

Pen Test Partners將其調(diào)查結(jié)果轉(zhuǎn)發(fā)給TechCrunch，后者進(jìn)行了相同的測(cè)試，并確認(rèn)了針對(duì)3Fun安全的調(diào)查結(jié)果。

更糟糕的是，當(dāng)Pen Test Partners在7月1日就數(shù)據(jù)隱私問(wèn)題與3Fun進(jìn)行接觸時(shí)，該應(yīng)用程序背后的團(tuán)隊(duì)要求提供有關(guān)如何解決問(wèn)題的建議。Pen Test Partners的創(chuàng)始人Ken Munro告訴TechCrunch，3Fun團(tuán)隊(duì)花了數(shù)周的時(shí)間來(lái)解決問(wèn)題。

Pen Test Partners表示：“ 3fun相當(dāng)迅速地采取了行動(dòng)，并解決了問(wèn)題，但這真是可恥的是，這么多個(gè)人數(shù)據(jù)都暴露了這么長(zhǎng)時(shí)間。”

涉及約會(huì)應(yīng)用程序的數(shù)據(jù)隱私問(wèn)題是在“ 咖啡見(jiàn)面百吉餅”(Coffee Meets Bagel)不幸遭遇之后發(fā)生的，情人節(jié)那天情人節(jié)那天宣布未經(jīng)授權(quán)的一方可以訪問(wèn)用戶數(shù)據(jù)。