Rela(热拉),中国的同性恋女性中一个受欢迎的交友应用,因为服务器不保护密码,暴露了数以百万计的用户配置文件和私人数据。
据报道,Rela 在被中国监管机构关闭后, 2017 年 5 月在应用商店消失,不过政府从未承认采取了行动。
但一年后,这款应用在另一家云服务提供商的应用商店上架。
LGBTQ 在中国的权利仍然非常有限,尽管它在 1997 年被合法化,社会上许多人仍在与歧视作斗争,态度也迟迟没有改变。
GDI 基金会的安全研究员维克多·盖弗斯(Victor Gevers)表示,他在本周发现了这个暴露的数据库,其中包含 530 多万应用程序用户。
Gevers说,据信该数据库自 2018 年 6 月以来一直被公开,也就是该应用程序回归一个月后。
每个数据都包括他们的昵称、出生日期、身高和体重、种族、性取向和兴趣。在用户允许的情况下,记录还包括他们的精确地理位置。该数据库还包含超过 2000 万个“瞬间”,或状态更新——包括私人数据。
“在中国,500 多万 LGBTQ 人群的隐私面临着许多社会挑战,因为没有法律保护他们免受歧视,” Gevers 说。“多年来一直公开的数据泄露,对相关人员造成了更大的伤害。”
在一份简短的回应中,该公司发言人证实数据库已被保护。
同性恋交友软件仍然是一项大生意——即使对中国的公司来说也是如此,尽管法律上的复杂性,导致一些主要的应用程序被关闭。
Zank 是一款广受欢迎的应用程序,主要由同性恋和双性恋男性使用。该应用于 2017年 4 月被关闭,理由是禁止传播色情内容。不过,像 Blued 这样的成熟应用程序在中国仍然很受欢迎。
2017 年,中国游戏巨头昆仑收购了 Grindr ——美国同性恋约会软件 60% 的股份,收购了整个公司。但据报道,由于担心该公司对美国国家安全构成风险,该公司正在出售。
附件:
热拉(全称:杭州热澜科技有限公司,下称“热拉”)特此声明全文:
一、本次事情的经过如下:2019 年 3 月 27 日上午,热拉工作人员收到来自 TechCrunch 编辑的邮件,称其发现热拉 APP 存在数据库安全访问的漏洞。随后,热拉团队立即采取行动,对 APP 数据库进行全面的排查,并在当日下午 17 时完成漏洞修复,目前热拉 APP 已确保不存在任何安全漏洞;
二、本次事件并无泄露任何用户的实名信息和隐私信息,不涉及用户姓名、照片、身份证、手机号码、绑定的微信登录账号、支付方式等用户的隐私信息;
三、本次事件涉及的数据均为 APP 中提供搜索服务的公开信息,所涉及的数据为:1、2000 万条日志 id,即日志在后台中的存储编号,仅为一串数字编号,并无任何头像、文字、图片、视频等实际内容;2、用户在个人资料中填写的“对外开放”资料,包含身高、体重、星座等匿名化信息,并且无法对应到某个真实的用户;
四、保护用户的隐私,为用户提供安全优质的服务是我们永久的使命,热拉全体成员将为此不遗余力。热拉一定会承担起保护用户隐私的责任,与有关部门合力调查本次事件,对于恶意窃取用户信息者将通过法律途径维护用户及公司的合法权益。同时,热拉也将诚恳地接受用户及媒体的监督。
热拉 APP 创始人兼 CEO Anson(热拉 ID:ansonr)在此向用户及媒体表示:“因为技术工作上的疏忽,我代表热拉团队向所有用户道歉!我们会立刻全面盘查,严谨工作流程,承诺不再发生安全漏洞等类似事件,承诺保护用户的隐私安全永远是热拉的首要任务。”
热拉团队会严肃反思,在日后的工作上,永远不忘将用户隐私、安全放在第一位。努力成为一家有能力、有理想、有承担的互联网创业公司。
杭州热澜科技有限公司
2019 年 3 月 28 日
