【誤導用戶】同志平台無視漏洞報告 守護私相不力罰款 24 萬美元

人哋用得你嘅服務，梗係相信你可以守護佢哋嘅私隱，點知上載嘅相可以喺網上任睇，全無私隱可言，咁仲唔係虛假宣傳？Online Buddies 就係因為咁而被告喇。

網絡安全公司嘅研究員經常會進行一啲網上調查，分析一啲應用服務供應商提供嘅服務有無漏洞存在，因為服務供應商未必有足夠人手去監測自己嘅伺服器有無問題，所以當研究員發現到漏洞所在，就會第一時間通知對方修補，而喺漏洞修補後或對方過咗一段時間都無反應，先至公開漏洞等對方正視。一般嚟講，服務供應商都會即刻解決問題，以免影響用家嘅信心，或被黑客入侵造成更大嘅損失。

Online Buddies、Jack’d 共用儲存平台

除咗以上兩項風險，服務供應商仲有可能被執法機關起訴。美國紐約一個專門提供同性戀交友平台應用服務嘅公司 Online Buddies，喺上星期五就俾紐約州總檢察長 Letitia James 檢控，指出被告公司早年收購嘅 Jack’d 手機約會應用軟件存有誤導成分，令用戶相信其上載嘅相片有足夠私隱保護，可以防止被授權以外嘅人睇到，但被告一方卻對漏洞視而不見，收到報告一年都無修補漏洞，令用戶嘅個人私隱蒙受損失，結果判處罰款 24 萬美元，同時勒令 Online Buddies 要持續改善網絡安全程度。

到底點解 Online Buddies 會被起訴呢？事緣上年研究員 Oliver Hough 發現喺 AWS S3 伺服器上發現咗一堆裸照及個人相片，呢啲相片全無密碼保護可以任人下載，事件公佈後有唔少傳媒都報導過呢件事，而 Oliver 亦追蹤到呢批相片係來自 Online Buddies 及旗下嘅手機約會應用軟件 Jack’d，而且仲發現除咗有 profile 相，亦有啲係設定為 private 嘅相片，於是 Oliver 就喺上年二月通知對方洩漏事宜。點知對方意見接受，態度照舊，但對方喺網站上聲明公司已採用咗合理方法去防止未經授權嘅登入及公開個人資料，好明顯條款與事實不符，誤導用戶使用其服務，所以就俾執法機關起訴囉。不過，24 萬美元到底有無警嚇作用呢？我就好懷疑嘞。

資料來源：https://on.ny.gov/31X7etM

相關文章：【滴水不漏】3億內地網民私訊網上任睇