IOS应用 加拿大APP Plenty of Fish泄露用户信息

Plenty of Fish是加拿大的在线约会服务。他们的服务通过他们的Android和iOS应用程序以及他们的Web应用程序分发。据报道，他们的整个用户群约为1亿用户，在任何给定时间都有约40万在线用户。

一名安全研究员发现约会应用程序Plenty of Fish泄露了用户设置为“隐私”的个人资料后，该应用程序推出了一个补丁。据这位应用程序分析师称，该应用程序总是悄无声息地返回用户的名字和邮政编码。泄露的数据并没有立即被应用程序用户看到，并且这些数据被打乱了，难以阅读。

研究人员发现，通过使用免费的工具来分析网络流量，当用户的资料出现在他的手机上时，就有可能泄露用户的信息。这位应用程序分析师告诉TechCrunch，在一个案例中，他发现了足够的信息来识别特定用户的居住地。

根据其母公司IAC的数据，Plenty of Fish的注册用户超过1.5亿。近年来，执法部门对一些人在交友应用上面临的威胁发出了警告，比如Plenty of Fish。

报告显示，在过去五年中，涉及约会应用程序的性侵案件有所上升。这些应用程序上的LGBTQ+社区也面临来自个人和政府的安全威胁，这促使Tinder等应用程序在LGBTQ+用户访问对同性伴侣有限制性和压迫性法律的地区和州时，主动发出警告。

在注册过程中提供大量个人信息后，Plenty of Fish允许您开始与您所在地区的其他用户进行匹配。利用约会应用程序进行基于见面会的攻击最近已成为新闻，犯罪分子使用Gridr（面向同性恋，双性恋和跨性别者的在线约会应用程序）来引诱和攻击用户。

协调披露鱼探仪

对 Plenty of Fish API 的初步分析显示，响应包含通用日志记录和应用数据。不幸的是，响应还包含潜在敏感的用户数据。这些敏感数据包括用户的名字，即使他们要求不显示它，以及用户主页的邮政编码。

由于API同时揭示了用户的名字和他们家的一般位置，恶意行为者可以利用这些数据来定位Plenty of Fish的用户的可能性并不大。随着最近的Grindr攻击，约会平台应该非常小心他们如何分享他们的用户位置信息，因为它可能被犯罪分子用来骚扰或攻击他们的用户。Plenty of Fish已经意识到了这个问题，并发布了修复程序。

根据 Plenty of Fish API 提供的家乡邮政编码找到用户位置“未显示在配置文件中”

注册Plenty of Fish时，他们不会显示有关用户的某些信息，例如他们的收入水平，父母的婚姻状况或兄弟姐妹的数量。尽管 Plenty of Fish 确实不会在用户的个人资料上显示此信息，但其个人资料的任何查看者仍可通过 API 访问这些信息。

此明确声明为“未显示在配置文件中”的数据通过 API 返回，而不会在用户配置文件中呈现。Plenty of Fish诚实地指出，当您的个人资料被查看时，数据不会“显示”，但是精通技术的用户将能够访问该数据。

收入水平、兄弟姐妹数量和父母婚姻状况均由编码的 API 响应显示。结论

Plenty of Fish在推出显示用户家庭邮政编码的修复程序方面反应迅速，勤奋不懈，但是我没有听到有关修复所显示的“个人资料中未显示”信息的回应。

互联网时代，WIFI早已成为大家日常生活的必需品。大家习惯每到一处首先会询问WIFI密码。但是IOS应用，某些WIFI安全防护性能相对较为薄弱，一些黑客只需要依靠简单设备，即可盗取使用该WIFI下的任何用户名和密码。

如何避免个人信息泄露呢？

1.扔掉的快递包裹物流单或者类似的纸质订单，一定要涂抹、处理掉姓名、电话等个人信息之后再丢弃！

2.尽可能不要在线填表，尤其要注意个人重要信息，不是要求必须提供的，都用假身份资料代替！

3.尽量使用授权登陆来进行注册，包括各类社交工具授权登陆！

4.重要的证件照片用完立即删除，千万不要留存在手机、电脑、网盘中！

5.尽量使用手机流量，慎用公共WIFI，防止黑客钓鱼！

6.不要去浏览无安全证书的网站、不要随意下载无安全认证的应用软件，这样可以有效避免电脑或手机中毒造成的隐私泄露！

7.不要在任何社交媒体上公开自己的位置或者家庭成员等个人信息，避免他人进行社工诈骗。

参考：theappanalyst

（编辑：武汉站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!