详细内容或原文请订阅后点击阅览
视频通话应用 Huddle01 暴露 60 万+ 用户日志
隐私离开了聊天。配置错误的 Kafka 代理实际上破坏了许多用户所依赖的匿名性。
来源:Malwarebytes Labs 博客Cybernews 研究团队发现,视频通话应用 Huddle01 通过不受保护的 Kafka 代理暴露了电子邮件地址、真实姓名和其他标识符。
网络新闻将不受保护的 Kafka 代理想象为存储和投递机密邮件的邮局。现在,想象一下经理将前门敞开,没有锁、警卫或身份检查。任何人都可以走进去,查看私人信件和照片,并抓住任何吸引他们眼球的东西。
Huddle01 是一款专注于去中心化网络实时通信(WebRTC)的视频通话应用程序。 WebRTC 很有吸引力,因为它可以让人们直接在设备之间通话和共享数据,而无需使用中央服务器。如果做得好,这可以减少延迟、降低成本并提高隐私性。
但是,让您的 Kafka 代理向任何偶然发现它的人开放并不符合“保护隐私权”。 Kafka 代理在没有身份验证或加密的情况下运行,这意味着任何人都可以监听、收集日志,或者在存在写访问权限的情况下可能更改数据。这表明存在根本性的错误配置,使用户和平台都面临风险。
Kafka 实例包含过去 13 天的超过 621,000 条日志条目,属于 Huddle01,包括:
- 用户名(有时是真实姓名)电子邮件地址加密钱包地址(Huddle01 支持跨区块链的许多钱包,例如比特币和以太坊)详细的活动数据,例如哪些用户加入了特定通话、每个通话的参与者、国家/地区、时间、日期和持续时间其他标识符
它还使用户更容易受到社会工程的攻击,因为攻击者可以使用真实姓名和会议数据制作可信的电子邮件或消息。