擁有超過530萬用戶的中國知名女同志交友軟體「熱拉」,因伺服器未加密而使上百萬用戶的資料遭到暴露。這項疏忽造成在個資方面特別敏感的同志族群面對相當大的風險。
熱拉伺服器未加密,私密個資全曝光
這項資安漏洞是由非營利組織GDI Foundation的研究員Victor Gevers所發現。他表示熱拉的資料庫從去年6月起就已暴露在未加密的風險下。資料庫內的每一筆個人資料都包含用戶的暱稱、生日、身高體重、族群、以及性傾向與喜好,而部分提供位置讀取的用戶,連所在地理位置也流出。資料庫內還記錄超過2億個動態更新,其中包含一些私密的個人資料。
中國在1997年將同志除罪化後,社會對LGBTQ+的接受風氣雖有進步,但進展的速度卻相對緩慢。Gevers表示:「由於中國沒有反性傾向歧視法,因此這項資安風險對這500多萬的LGBTQ+用戶來說是一件相當危險的事。」 針對此事,熱拉發言人表示目前資料庫已完成加密。
這不是第一次熱拉引發眾議。在2017年5月,熱拉無預警遭下架,耗時一年後才恢復。外界稱這是來自中國政府的壓力,不過政府方面對此否認,表示並不知情。但另一個知名同志交友軟體Zank也曾於2017年4月被禁,遭控違反政府法規、宣傳色情內容。
同志軟體Grindr意外捲入中美貿易戰
另一項知名同志交友軟體Grindr,也因個資安全問題引發關注。原本由美國廠商開發的Grindr,去年被中國遊戲及科技公司昆侖萬維買下,引來美國海外投資委員會(CFIUS)的關注。根據Reuters報導,CFIUS已通知昆侖萬維,表示其併購Grindr一事對美國造成資安威脅。雖然CFIUS並未明列詳細原因,但外界認為在中美貿易戰的影響下,這項決定顯示美國政府對中資掌握用戶個資的擔憂。
知情人士表示,昆侖萬維在2016年及2018年分批透過兩次交易收購Grindr,而這兩次交易都未經過CFIUS的審查。美國參議員Edward Markey及Richard Blumenthal表示,政府應該為涉及敏感個資的外資收購案劃分出明確的界線。
美國政府近年來逐步加強對App開發者在個資安全防護上進行審查,擔心重要人物如軍方及政府官員的資料遭竊。而Grindr上的資訊則更加敏感,除了用戶的地理位置、私訊、性傾向甚至連HIV的感染資訊都有紀錄。目前昆侖萬維已停止原本為Grindr準備IPO的計畫,並透過投資銀行希望將Grindr轉賣回美國的公司。
資料來源:Techcrunch、Reuters
