儿童追踪应用程序uKnowKids.com指控一名安全研究人员在警告其数据存在风险后“黑客入侵”其系统。研究员Chris Vickery发现uKnowKids.com的一个数据库周一配置错误,暴露了1,700名儿童的详细资料,包括电子邮件地址,全名,出生日期甚至GPS坐标近50天。
风险数据还包括680万条个人信息和近200万张图像,其中许多是儿童图像。这些数据存储在配置为公共访问的MongoDB数据库中,Vickery声称他甚至不需要密码来访问它。Kromtech安全研究人员在MacKeeper上写道:“我不了解你,但我认为让公众公开,不受限制地访问包含详细儿童信息的数据库是不合理的程序” 。
儿童安全应用公司首席执行官史蒂夫沃达在一篇博客中承认了这个问题,并表示他的技术团队在Vickery通知他后90分钟修补了这个漏洞。他补充说,泄漏只影响了0.5%%的儿童,因为他们需要保护。
但他也对Vickery的意图提出质疑,并写道:“黑客声称自己是一个'白帽'黑客,这意味着他试图获取未经授权的访问私人系统,以造福'公益'。“我们正在尽最大努力充分识别Vickery先生,以验证他所声称的'良性'意图。”
Woda写道,Vickery在下载数据库12分钟后通知uKnowKids数据泄漏,并截取了业务数据和客户数据的截图。
该公司要求Vickery删除他所做的下载,但他保留了一些截图,他声称已经编辑过了。
Vickery 在接受CSOOnline采访时表示,他正在抓住屏幕截图,以确保uKnowKids在他们的声明中“(最低限度)诚实”。
他说,Woda在与他的电子邮件对话中表达了担心,揭露数据库不安全可能会让uKnowKids破产。
Woda的公司已经重新配置了所有加密密钥和数据模式以抵御网络罪犯,并聘请了两家安全公司帮助揭露其系统中的任何其他漏洞。它还报告了对联邦贸易委员会的违规行为。