知名约会软件3Fun泄露大量用户隐私和地理定位

近期，为“好奇和单身人士”服务的3Fun手机约会应用被曝出发生了会员数据数据泄露事件，涉及用户隐私和地理定位。

3Fun声称在全球拥有超过150万会员。每天会产生超过18万条交流信息。

Pen Test Partners的安全研究人员发现，这款约会应用存在几个严重的安全漏洞，导致用户的实时位置和其他敏感数据被泄露。具体数据包括出生日期、性偏好、聊天信息和私人照片。此外，信息泄漏和用户设置无关，即使用户正确地启用了隐私设置，个人数据也会被泄漏。

研究人员注意到，该应用对数据的管理过滤只在客户端实现，攻击者只需使用简单的流量中转软件，即可绕过安全限制，查看到敏感信息。

以下是应用向3Fun询问用户数据的GET请求示例:

GET /match_users?from=0&latitude=xxxxxx&longitude=+yyyyyy&match_gender=63&match_max_age=61&match_min_age=30&offset=40&search_distance=100 HTTP/1.1

根据Pen Test Partners的分析报告，用户发送请求所接收到的数据只会在应用本身进行过滤（指其中的敏感数据），并不会预先在服务器就过滤。即使设置好隐私保护，也只是减少在应用界面中所显示的数据。攻击者直接利用API就可以查询到其他用户的地理定位。

研究人员从泄露的数据中能够找到世界各地的用户，甚至包括首相官邸唐宁街10号和华盛顿特区白宫的用户。

当然，专家也解释说，以上敏感地理位置的用户可能是一些研究人员为了进行测试而修改了GPS坐标。但不管怎样，3Fun应用明显缺乏安全性和隐私性，令用户不安。

攻击者可以利用这些用户地理定位和隐私数据跟踪或威胁受害者。

专家还发现，这些隐私信息中甚至包括用户的私人照片，在API的响应中你可以轻易看到图片链接。

Pen Test Partners于2019年7月1日向3Fun的开发团队报告了漏洞详情，3Fun回复如下:

亲爱的Alex，谢谢你的提醒。我们会尽快解决这些问题。你还有什么其他建议吗?”

好消息是，3Fun还是很快就解决了这些问题:

研究人员最后总结道，这种数据泄露情况是非常严重的，因为攻击者利用起来毫无任何难度，且服务器端也很难及时对异常情况进行发现响应。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/89655/data-breach/3fun-data-leak.html