研究人员发现了数百万测验应用程序TVSmiles用户的公开数据
TVSmiles是总部位于柏林的移动原生广告应用程序,其用户因与测验,应用程序和视频等品牌内容进行互动而赚取了数字货币,因此遭受数据泄露。
安全研究员UpGuard今天在一份报告中披露,该公司上个月在网上发现了一个不安全的Amazon S3存储桶-包含与数百万应用程序用户相关的个人和设备数据。根据TVSmiles的营销材料,测验应用程序最多可拥有300万用户。
储物桶UpGuard被发现暴露在互联网上包含306 GB PostgreSQL数据库备份,其中包含“与单个用户匹配的未加密的个人身份信息,基于测验响应,与智能设备的关联以及TVSmiles的帐户和登录详细信息来分析有关用户兴趣的见解”业务关系”,根据其报告。
UpGuard写道,公开的存储库中存在261个数据库表,其中包括一个“ core_users”表,其中包含超过660万行。在与电子邮件地址绑定在一起的条目中,UpGuard说它发现了901,000个独特的电子邮件。
公开的备份文件似乎可以追溯到2017年8月。
在UpGuard向TVSmiles报告了违规行为之后,在5月13日发送的电子邮件中,柏林这家总部位于纽约的公司在5月15日做出回应,在一封电子邮件中写道,该存储库“已立即受到保护”(UpGuard表示已独立确认这一点)。
TVSmiles联合创始人盖洛德·扎克(Gaylord Zach)在给UpGuard的电子邮件中补充说,它将“进一步调查公开数据的内容以采取进一步行动”。
Zach今天就此事件征求评论,Zach确认了UpGuard的报告,还确认了暴露的存储库多年来意外地处于不安全状态。
他说,对可用日志的内部分析发现,除了UpGuard可以访问数据外,没有未经授权的访问,并补充说TVSmiles尚未将事件通知用户-但它正计划在其移动应用中与用户进行通信,并在其网站上发布博客。
“我们的分析表明,数据包含一个数据库备份,该备份创建于2017年,并错误地存储在云托管环境中提供的云存储库中,” Zach告诉我们。“据称,此备份是在执行维护工作之前作为安全措施而创建的。进一步的调查显示出三个独立但严重的策略漏洞:1.)备份以纯格式存储,其中所有备份均应加密;2.)受影响的存储库已配置为代码存储库,并且从未打算存储数据;3.)受影响的存储库旨在供组织内部私人使用,决不打算公开提供。
“这三个因素的非常不幸的结合导致了很长一段时间,这些数据仍然没有被发现就被存储了。”
TVSmiles向德国数据保护机构报告了此违规行为-据Zach于5月17日提交了报告。
欧洲的《通用数据保护条例》(GDPR)要求数据控制者必须至少在发现后72小时内,向监管机构报告所有对个人权利和自由构成威胁的个人数据泄露事件。
“我们非常感谢UpGuard揭露此漏洞,以免造成重大数据泄露并损害我们的用户。用户数据的这种不必要的暴露使我们非常尴尬。这强烈提醒每个开发人员定期进行安全检查和内部整理,以避免发生这些事件。”
点击数据
TVSmiles的业务参与了一个以数据为动力的数字广告生态系统,该生态系统通过将用户ID链接到设备,数字活动和跟踪的兴趣,建立个人资料以将屏幕用户定位为广告来运作。
因此,TVSmiles测验应用程序鼓励用户参与的交互式内容-使用专有数字货币(称为“ Smiles”)进行奖励活动,可以将其交换为商店产品折扣券或直接兑换现金-既可以作为直接营销推动品牌内容深入互动的材料;以及本身具有的数据收集工具,使企业能够收集有关用户兴趣的更深刻见解,进而可以通过用户配置文件和广告定位来获利。
这样的洞察力使TVSmiles可以插入更广泛的数字广告生态系统,在该生态系统中,可以跨多个应用程序,服务和设备对移动用户进行大规模配置和跟踪,以使目标广告可以随时随地跟踪关注-所有这些都由人们的数字化背景分析提供支持活动和推断的兴趣。
根据Crunchbase的说法,该测验应用程序自大约七年前成立以来就已经筹集了总计1260万美元的资金,当时它正成为电视观众的第二个屏幕应用程序。它继续推出了自己的广告平台Kwizzard,该平台将广告打包为“一种原生的游戏化广告格式”,目的是吸引应用程序用户参与基于测验的广告系列。
鉴于TVSmiles的业务性质,以及在广告技术行业运作方式上更加缺乏透明度的问题,这种数据泄露现象是在广告支持的背景下常规进行的数据收集的广度和深度的迷人而令人不安的一瞥。数字服务。
即使是具有相对较小的用户群(数百万)的应用程序也可以位于庞大的跟踪数据存储库中。
在线广告行业在其根据欧盟数据保护制度处理大量个人数据所声称的法律基础上,仍继续面临重大问题。
主数据库加上访问令牌
关于此漏洞中暴露的数据类型,UpGuard表示306 GB PostgreSQL数据库备份包含有关应用程序用户的“集中信息”,以及所谓的“任何业务参与所必需的大量内部系统和合作伙伴信息”在现代在线广告生态系统中”。
TVSmiles的LinkedIn页面报告该应用程序在德国和英国拥有超过200万用户-到目前为止,每个Google Play商店的TVSmiles应用程序下载量均超过100万,而Apple的iOS并未突破该应用程序下载量Play商店应用页面上的视频引用了3M用户-因此660万的数字可能与该应用在2013年9月推出以来的整个生命周期内的总下载量有关。
Zach告诉我们,用户数之间的差异是由于TVSmiles现在的业务比2017年中期要小得多,当时TVSmiles在营销上花了很多钱,拥有更多的活跃用户,包括在英国市场(它于2018年离开)。
“总体而言,与2017年相比,我们现在的规模要小得多,”他补充说。
UpGuard发现存储库中的其他表包含更多条目,例如“ tracking_token”表,其中包含超过2.35亿个条目行。
它写道:“该数据库中的一个名为“ user_core”的表包含600万行,其中许多用户的“国家”字段标记为整个欧洲的其他地区,这使得该数据与当时成为TVSmiles的主数据库一致。那个报告。“ user_core表包含电子邮件地址,fb_user,fb_access_token,名字和姓氏,性别,出生日期,地址,电话号码,密码等字段。”
UpGuard告诉我们,user_core表的密码哈希填充了626,000行。它说这些密码似乎是使用一种已知易受蛮力攻击的散列算法(即sha256算法)进行散列的,因此对恶意攻击者的保护很小。
它补充说,它能够在公开查询的索引中找到三个随机散列密码中的三个,这些密码可以在网上轻松搜索到-这意味着这些密码哈希已经被逆转(这反过来表明它们以前可能已经在其他地方使用过;否则通常是可以猜测的)。
它还找到了存储在存储库中的某些列出的TVSmiles用户的Facebook用户ID(“ fb_user”)和访问令牌(“ fb_access_token”),大概是使用Facebook帐户登录该应用程序的用户。
“并非所有用户都可以看到所有数据点-例如,Facebook特定字段可能仅对与自己的Facebook身份相关联的用户显示,而通过Facebook进行身份验证的用户本质上不需要为该用户创建密码。应用程序,因为该身份验证方法具有功能。”
根据其分析,暴露的存储库包含超过312,000个与Facebook ID绑定的访问令牌。
它还发现了存储在与最终用户设备相关的表中的大量个人数据-据说这些数据链接到跟踪令牌,广告ID和用户奖励。
UpGuard写道:“一个名为“ device_core”的表包含与物理设备绑定的750万行。这些设备具有唯一的设备ID,访问令牌以及到其所有者的用户ID的映射。然后,这些设备ID与包含2.35亿个条目行的“ tracking_token”表相关。
“ tracking_token表中的行包含campaign_id,placement_id,user_payout和Challenge_id之类的字段,可在每台设备上为TVSmiles活动(例如用户响应的广告和活动)建立图片,然后可以将其链接回用户。”
在存储库中找到的其他个人数据包括精确的位置数据(“用户的纬度和经度”),以及为名为“完整设备信息”的数据库配置的相关管理视图,UpGuard说,该视图突出显示了“ tracker_name”(令牌值),和最近的气象站”。
它还发现了与TVSmiles用户有关的“见解”集合,以“意图,兴趣和其他心理素质”的形式列出。
报告指出:“这些主题从消费品(例如书籍,视频游戏,家具和衣服)到用户的教育和更深奥的兴趣不等。”
除了存储附加到TVSmiles应用程序的数百万用户的个人数据(未加密)以及超过一半的此类条目的哈希密码外,还发现了公开的存储库包含与公司许多业务客户有关的信息-也与访问令牌绑定。
UpGuard写道:“将这些名称解释为业务客户是合理的,这些客户已经付费在TVSmiles上发布广告,或者可以访问从最终用户应用程序交互中收集的见解。”
这些业务用户的哈希密码,电话号码,电子邮件地址,名称和其他数据点也都存在。相反,还提供了TVSmiles自己的凭证,用于与提供TVSmiles平台所需的供应商进行交互,例如广告交易,欺诈检测平台和电子邮件通信调度。
UpGuard建议,一个偶然发现不安全存储桶的黑客可能已经能够使用令牌来访问许多其他服务,在这些服务中,他们有可能获得更多的用户数据,例如通过导出联系人数据。通过第三方服务访问或发送邮件;或阅读历史服务信息和性能指标。
“如果在UpGuard发现该数据库并发送适当的通知之前,该数据库已被恶意实体定位,则存在这样的凭据可能使攻击者冒充TVSmiles并从其他平台和服务提供商收集有关任意目标的其他信息, ”它补充道。
Zach确认数据包含“旧版访问令牌”,但表示它们源自过时的登录方法,此方法已被基于OAuth的登录服务所取代。
他告诉我们:“数据源自2017年8月。因此,任何包含的访问令牌现在都将过期,”他说TVSmiles尚未通知任何业务合作伙伴,原因是“根据暴露者的性质和年龄,没有重大风险。令牌”。
他补充说:“但是,如果我们低估或忽视了风险,我们会毫不犹豫地联系并采取行动。”
同意问题
审查UpGuard的报告后,总部位于欧盟的隐私研究人员Wolfie Christl专注于广告技术和数据驱动的监视,呼吁欧盟数据保护机构立即展开调查。
“这是大规模的数据泄露。但是,不仅如此。它提供了一个不透明的行业的一瞥,该行业由成千上万的公司组成,这些公司秘密地为业务目的收集了数百万人的大量个人信息,”他告诉TechCrunch。
根据泄漏的数据库,该公司拥有600万个人和750万设备上的数字档案。他们似乎将名称,电子邮件地址和电话号码链接到设备标识符,社交媒体帐户以及各种行为数据。
“德国(也许还有其他欧洲国家)的数据保护机构必须立即开始调查。除了数据泄露外,他们还必须检查公司及其关联公司和合作伙伴是否以合法方式处理了这些大量的个人数据。他们有法律依据进行处理吗?”
Christl补充说:“更广泛的问题是,在GDPR全面生效两年后,它仍未在主要地区实施。”从平台到数字营销再到移动应用程序,我们仍然看到整个数字世界上大规模滥用个人信息。欧盟当局本来应该在几年前采取行动,现在必须这样做。”
TVSmiles在其隐私权政策中声明,它仅在“法律允许的范围内或您已经同意……的范围内使用应用程序用户的个人数据,用于广告,市场研究或基于需求的我们的报价设计” [使用Google翻译翻译的文字]。
“我们正在获得用户对数据使用的同意,并在我们的应用程序中创建了一个专用部分来获取同意,例如位置数据,广告标识符,与广告合作伙伴共享个人数据,” Zach在此告诉我们,并补充说同意信息是提供给“各种广告和跟踪合作伙伴”-假设用户同意通过对其同意流的响应来跟踪。
根据UpGuard,可以在TVSmiles的存储库中找到对许多第三方广告技术公司的引用,这表明该公司正在利用其服务进行数据结构化,充实和货币化,其中包括Adex,一个数据管理平台和市场,其网站宣传了“轻松买卖数据”;Adjust,一家致力于移动营销的移动测量和欺诈预防公司;Fyber移动应用获利公司;和产品用户行为分析平台Mixpanel。
这个故事中另一个有趣的组成部分是TVSmiles的业务如何跨越电视和在线广告领域。它的业务始于五年多前,最初的重点是成为电视观众的“第二屏”应用程序,包括使用音频技术自动识别电视广告以提供相关的应用程序内内容。这意味着它与传统媒体巨头建立了联系。
例如,早在2014年,它就与欧洲媒体巨头ProSiebenSat.1的营销子公司SevenOne Media在奥地利建立了其应用程序的营销合作伙伴关系。当时,ProSiebenSat.1 PULS 4的总经理Michael Stix将这一举动称为“战略步骤”,将品牌传播整合到了第二个屏幕上,称赞此次合作可以为广告客户提供“额外的新颖接触点”目标组。
但是,智能电视和数字登录的兴起为更深入地链接互联网活动和电视观看铺平了道路。尤其是当传统大众媒体巨头一直在寻找使自己的媒体业务多样化的方式时,与以往相比,在观看者眼球方面的竞争更加激烈。
在所有这些屏幕的背后,大量的adtech管道正在交换链接到各个用户的数据-交易ID和见解以连接点并投放目标广告。因此,如今,连接的“接触点”现在非常重要,而不是次要的。
UpGuard在暴露的TVSmiles存储库中找到了标记为“ seven_pass”的标签:为所有ProSieben.Sat1的数字服务(称为7Pass)提供单点登录解决方案。
TVSmiles网站上的常见问题解答确认TVSmiles用户能够使用7Pass服务登录到该应用程序。
TVSmiles在其隐私政策中声明,将7Pass登录用户的“假名”数据发送到ProSiebenSat.1 Digital及其关联公司以及ProSiebenSat.1 Media SE的其他关联公司,包括测验响应数据。
“此外,您通过应用程序中的调查卡收集和提供的调查数据也将以假名方式传输给ProSiebenSat.1 Digital&Adjacent GmbH以及ProSiebenSat.1 Media SE的其他关联公司,以使您能够在该应用程序可带来更多笑脸,并能够与ProSiebenSat.1合作提供特殊促销。”
当然,就像弱密码哈希一样,“假名”个人数据可以很容易地重新识别,例如通过统一跟踪ID。
当被问及7Pass服务时,Zach说TVSmiles已用ProSiebenSat.1的数字登录服务代替了原有的用户管理-声称其主要目标是“利用大型合作伙伴提供的可信赖且维护良好的登录服务,并消除对自我管理的凭据和访问令牌”。
他补充说:“鉴于用户数据和访问凭证的敏感性,这似乎是明智的选择。”
在最近的业务发展中,TVSmiles于2019年12月将其开发部门和adtech出售给了一家名为PubNative的公司。PubNative是一家由德国控股公司MGI Media拥有的移动SSP和程序化广告交易平台,该公司近年来进行了大量媒体和广告技术收购(并且是免费游戏制造商Gamigo的大股东)。
在“收购”时,TVSmiles和PubNative建议建立持续的业务合作伙伴关系。“随着我们最近进入互联电视领域,PubNative的先进技术体系支持我们的持续增长,并使我们能够在国际上扩展业务。需求方业务发展的进步将逐步引入整个产品线。”扎克在去年年底的新闻声明中说。
当被问及TVSmiles与PubNative之间业务关系的性质时,Zach确认已将“某些人员和技术”出售给PubNative,但保留了其移动应用程序和用户群,并补充说:“没有与PubNative共享用户数据,他们没有参与。在这种情况下。”
但是他证实TVSmiles使用了PubNative提供的广告技术。
“这项技术(SDK)内置在TVSmiles应用程序中。数据共享仅限于经用户同意授权用于广告用途的共享。”他补充说。
Exodus的一项静态分析表明,TVSmiles应用程序包含40多个跟踪器,其中包括PubNative的跟踪器。加上挪威消费者委员会(NCC)于1月发布的另一份报告,UpGuard发现TVSmiles存储库正在存储精确的用户位置数据这一事实很有趣,该报告深入研究了广告技术行业如何非透明地利用漏洞应用程序用户的数据。
NCC报告将PubNative确定为从其测试的许多应用程序接收GPS数据的实体之一(注意:它未测试TVSmiles应用程序)。理事会发现,大多数应用程序已经对其传输数据进行了测试,这些应用程序将其表征为“意外的第三方”,这意味着,它认为并未清楚告知用户谁在获取信息以及对其进行了何种处理。
TVSmiles应用程序中包含的其他SDK,Exodus以及TVSmiles隐私权政策中的软件供应商列表,包括Facebook Ads,Analytics和Places;Google Ads,Analytics(分析),DoubleClick等和Twitter MoPub。同时存在:从AdBuddiz到Vungle的较小型adtech和移动营销/货币化参与者的列表更长。
Zach还告诉我们:“浏览Exodus报告时,大多数这些跟踪器源于TVSmiles应用程序中使用的广告技术。”
