世界各地的网站和应用程序都鼓励研究人员能指出他们的系统中的漏洞,但一个专为艾滋病阳性用户网上交友的应用程序开发商用艾滋病病毒威胁安全研究人员不能向他们通知程序中任何安全漏洞。 HIV专属应用:Hzone Hzone——一个专为HIV阳性单身的应用软件,目前拥有超过4900个用户。一位安全研究员(Chris Vickery)在该软件中发现了一个泄露用户数据的漏洞,他向开发商报告了该漏洞可他们却没有任何的回应。于是Chris Vickery随即通知了DataBreaches.net,结果databreaches的管理员在运行该应用程序后收到了HIV感染的威胁。 “你为什么要这么做?你的目的是什么?我们只是一家为艾滋病人提供交友服务的公司。如果你想要我们的钱,那你会失望的。而且你的这种非法和愚蠢的行为将会被我们所有人报复!我想你和你的家人不想从我们那里获得艾滋病毒吧?如果你还要这样做,那就等着吧你!” 这是databreaches管理员确认了该安全问题后他收到的一份邮件摘录。 虽然Hzone后来道歉了并表示会修复这个漏洞,但之后又控告Vickery和databases.net更改了信息导致公司不知道该如何保护他们的用户数据了。 开发商说信息数据只能通过一个单独的IP地址访问,而Vickery却从多个IP地址访问到了数据,这出问题了! 虽然数据泄漏最终被解决了,但不得不说真是一次愚蠢的电子邮件交谈。 数据永久保存? Hzone还存在这一些其他的问题,比如一旦创建了一个配置文件,那么即使用户不再使用这个应用程序,文件里面的数据也不能被删除。因此,如果哪天这个程序的数据又有漏洞,那些不再使用该应用程序的人的信息也将会很容易地暴露出来,而且Hzone还没有系统通知用户相关的漏洞威胁。 所以这种软件还是不要作死去下载,开发商就很奇葩了。 *参考来源hackread FB小编江湖小吓编译 |