北京
全球7000种语言,AI能翻译的不到200种——但再小众的应用,数据泄露的代价一点不小。
网络安全研究机构Cybernews近日披露,一款名为Tokee的即时通讯应用存在严重安全漏洞。其未设密码保护的MongoDB数据库直接暴露在公网,约120万用户的个人信息任人查阅。这个数字意味着什么?Tokee在Google Play的累计下载量刚破百万,泄露规模几乎覆盖其全部用户群。
泄露的数据维度相当完整:用户显示名称、以纯数字形式存储的手机号码、头像图片、用于推送通知的设备令牌、用户ID、账户创建与更新时间戳、"最后在线"状态标记,以及区分普通用户与付费会员的账户状态标识。更棘手的是,这批数据足以支撑精准的钓鱼攻击——攻击者完全知道该以什么身份、用什么话术接触目标。
同一数据库中还存有聊天记录,但Cybernews确认这部分采用了基于密码的OpenSSL加密。理论上,拥有足够算力的攻击者可以暴力破解,但从成本收益比来看,短期内风险可控。真正需要警惕的是那些明文信息:设备令牌可被用于劫持推送通道,手机号与活动日志的组合则能勾勒出清晰的用户画像。
涉事主体Deucetek是一家美国软件公司,Tokee为其旗下产品。在Cybernews按负责任披露流程通报后,该公司已紧急锁定数据库。研究人员追溯后未发现恶意访问痕迹,数据也未流入暗网交易渠道。但这不代表用户可以高枕无忧——历史数据表明,此类泄露的利用往往存在数周甚至数月的延迟窗口。
当前建议很明确:Tokee用户需对任何声称来自官方渠道的短信、邮件保持警惕,尤其涉及密码重置或账户验证的请求。考虑到设备令牌已外泄,攻击者完全有能力伪造看似合法的推送通知。在缺乏强制通知法规的市场环境下,用户自保仍是最后一道防线。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
