全球最大的同志交友App「Grindr」,被發現有兩項安全漏洞,不僅會洩露用戶非公開資訊,定位資訊也有被有心人士掌握風險,雖然App、網路服務掌握大量用戶資料早已不是新聞,但在同志受到壓迫的地區,這項資安漏洞,就可能讓用戶受到安全威脅,目前Grindr尚未提出完整解決方案。
二大漏洞:個資、位置都外洩
這項漏洞是由一名叫Trever Faden的男子所發現,他打造了一款第三方應用程式「C*ckblocked」,用戶只要在這個網站輸入自己的Grindr帳密資料,系統就會掃描隱藏的元數據,用戶就可以知道自己被那些人封鎖。
雖然任何帳號與第三方服務連接都是風險很大的事情(看看最近Facebook個資外洩風暴),但Trever Faden發現只要用戶輸入帳密後,他就可以看到許多用戶沒有公開的資訊,包括私訊內容、email帳號、以及已經刪除的照片;第二項漏洞,是位置資訊曝光,Grindr曾表示用戶的位置資訊都有加密處理,但透過這個第三方應用,有心人士就可窺探特定用戶的位置,而這也是Grindr第一次被發現有安全漏洞。
位置遭鎖定,用戶生命安全恐受威脅
雖然位置資訊洩露,已經不是什麼太令人意外的事(看看Google掌握了你多少資訊),但Grindr是一款同志交友軟體,許多國家對同志族群相當不寬容,像是印尼政府曾在去年對於兩名同志,以違反伊斯蘭律法為由處以鞭刑,印尼政府今年一月時也曾要求Google撤下平台上的同志交友App;在非洲、中東有許多國家,同性戀甚至是違法的。
在這項漏洞存在的情況下,有心人士、政府就可能刻意鎖定同志族群,甚至對生命安全造成威脅。Grindr透過聲明表示,用戶一旦將帳戶與第三方平台連結,就有個資外洩風險,並不建議用戶這麼做,同時強調Grindr是一款以「用戶位置為基礎(location-based)」的App,因此位置資訊都會加密處理。
聲明中沒有提到具體漏洞解決方案,但補充會透過混淆位置資訊的方式,保護用戶安全。
中國公司全資收購,黏著度更勝Facebook
總部位於美國洛杉磯的Grindr成立於2009年,是全球最受歡迎的同志手機交友軟體,在當時最大的特色,是利用GPS定位幫助用戶尋找附近的可能約會對象,現在是美國同類型社交軟體市占第一名。
目前在全球196個國家擁有2700萬用戶、每日活躍用戶數有330萬人,根據統計,用戶每天平均使用Grindr的時間長達54分鐘,黏著度甚至比社群龍頭Facebook還高。自2009年創立以來,Grindr在沒有任何外部資金進入的情況下仍維持年年成長,2017年第一季Grindr營收達1.03億美元、淨利潤818.24萬美元,商業模式主要靠高級會員會費以及平台廣告收入,近來還發展出線上雜誌、開發異性戀交友功能,積極朝社群、內容布局。
今年一月中國遊戲科技公司崑崙萬維,才以1.52億美元(約新台幣45億元)完成收購Grindr,目前100%全資擁有Grindr。
資料來源:CNBC、TechCrunch、NBC