亚马逊的环邻居应用暴露了用户的精确位置和家庭住址

2021-01-15 07:31:39

亚马逊以10亿美元的价格收购了视频门铃和家庭安全初创公司Ring,该公司于2018年推出了Neighbors,这是其独立应用程序的一项突破性功能。邻居是Nextdoor和Citizen等几种邻居监视应用程序之一,它使用户可以匿名提醒附近的居民注意犯罪和公共安全问题。

尽管用户的帖子是公开的,但该应用程序不会显示名称或确切位置-尽管大多数都包括Ring Doorbells和安全摄像头拍摄的视频。该错误使检索发布到应用程序的用户(包括举报犯罪的用户)的位置数据成为可能。

但是使用该应用程序的任何人都看不到公开的数据。相反,该错误是从Ring的服务器中检索隐藏的数据,包括用户的纬度和经度及其家庭住址。

另一个问题是,每个帖子都与服务器生成的唯一编号相关联,每次用户创建新帖子时,该编号都会增加一个。尽管该数字对于应用程序用户而言是不可见的,但连续的帖子编号可以轻松枚举以前帖子中的位置数据,甚至可以从地理位置附近的用户中枚举。

到2020年底,Neighbors应用程序似乎拥有约400万个帖子。

“在Ring,我们非常重视客户的隐私和安全。我们在意识到此问题后不久便解决了该问题。环网发言人Yassi Shahmiri说。

去年,Gizmodo在Neighbors应用程序中发现了一个类似的错误,该错误揭示了隐藏的位置数据,使他们可以在美国各地绘制成千上万的Ring用户。

Ring目前面临着数十人的集体诉讼,他们说,在他们的Ring智能相机被黑客入侵后,他们遭受了死亡威胁和种族歧视。 作为对黑客的回应,Ring将此归咎于用户未使用“最佳实践”(如两因素身份验证),这使黑客更难使用用户密码访问用户帐户。 据报道,黑客正在开发出破解Ring帐户的工具,并且在黑暗的网络上发现了1500多个用户帐户密码,Ring强制对每个用户进行两因素身份验证。 这位聪明的技术制造商还因与与Ring合伙的数百个美国警察部门之间的舒适关系而受到民权组织和立法者的批评,这种情况与Ring一起获得了房主的门铃摄像头。