聲明：該文章來自（API安全）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

在德國廣泛使用的學(xué)生社區(qū)應(yīng)用程序Scoolio，由于平臺(tái)出現(xiàn)API漏洞導(dǎo)致大約40萬名用戶敏感信息遭到泄露。

IT安全組織“Zerforchung”的安全研究員Lilith Wittmann發(fā)現(xiàn)了這個(gè)漏洞，并立即向Scoolio團(tuán)隊(duì)匯報(bào)發(fā)現(xiàn)情況。

• ?“學(xué)生”業(yè)務(wù)

Scoolio是一款德國學(xué)生社區(qū)應(yīng)用程序，主要用于培養(yǎng)良好的時(shí)間管理，便于輔導(dǎo)，制定功課計(jì)劃，以及與同齡人進(jìn)行群組聊天。該應(yīng)用程序還在企業(yè)和學(xué)生之間建立聯(lián)系，可供分享就業(yè)或?qū)嵙?xí)機(jī)會(huì)。

Scoolio通過收集這些工具和功能產(chǎn)生的數(shù)據(jù)，然后通過定向廣告盈利。然而，Scoolio表示，不會(huì)在未經(jīng)學(xué)生同意的情況下收集或分享學(xué)生的任何信息。?

為了招募學(xué)生會(huì)員，Scoolio與德國各地的學(xué)校合作，把公司平臺(tái)作為文件交換或遠(yuǎn)程數(shù)字化作業(yè)收集的遠(yuǎn)程教學(xué)輔助工具。

其中平臺(tái)能夠快速發(fā)展還得益于三家國有投資集團(tuán)的資金支持，分別是SIB?Innovations?-?und?Beteiligungsgesellschaft?mbH,?Technologiegründerfonds?Sachsen,?和?Kreissparkasse?Bautzen.?

在合作伙伴和政府的支持下，許多學(xué)生已經(jīng)把應(yīng)用程序作為課堂上的標(biāo)準(zhǔn)工具。

• 有漏洞的API泄露了大量數(shù)據(jù)

在Zerforchung’s的報(bào)告中，Wittmann詳細(xì)說明她是如何利用Scoolio API漏洞來檢索應(yīng)用程序中任意用戶ID的敏感數(shù)據(jù)。

泄露的個(gè)人數(shù)據(jù)包括:

l?用戶昵稱

l?用戶和家長的電子郵件地址

l?應(yīng)用最后一次訪問的GPS位置

l?學(xué)校及班級(jí)名稱

l?愛好

l?UUID細(xì)節(jié)

l?性格特征?(出身、宗教、性別)

Wittman分享了以下漏洞所泄露的數(shù)據(jù)類型的模擬樣本。

雖然Scoolio表示，有180萬人使用其應(yīng)用程序，但研究人員認(rèn)為，根據(jù)用戶ids的創(chuàng)建，實(shí)際人數(shù)接近40萬。

“我們不能確切判斷有多少學(xué)生受到影響。根據(jù)Zerforchung的報(bào)告:“因?yàn)閟coolio通過會(huì)在沒有詢問的情況下創(chuàng)建賬戶，人為地增加了用戶數(shù)量:你只要下載并打開應(yīng)用程序，就會(huì)生成一個(gè)帶有UUID的空配置文件——不管你是否真的想創(chuàng)建一個(gè)用戶賬戶?！?/p>

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/