Popüler görüntülü arama ve mesajlaşma uygulaması JusTalk, hem güvenli hem de şifreli olduğunu iddia ediyor. Ancak, kullanıcıların şifrelenmemiş özel mesajlarının büyük bir önbelleği çevrimiçi olarak bulunduktan sonra bir güvenlik hatası, uygulamanın ne güvenli ne de şifreli olduğunu kanıtladı.
Mesajlaşma uygulaması, Asya’da yaygın olarak kullanılmaktadır ve dünya çapında 20 milyon kullanıcıyla gelişen uluslararası bir kitleye sahiptir. Google Play listeleri JusTalk Çocuklar1 milyondan fazla Android indirmesi olduğu için mesajlaşma uygulamasının çocuk dostu ve uyumlu sürümü olarak faturalandırıldı.
JusTalk, her iki uygulamasının da uçtan uca şifreli olduğunu – yalnızca sohbetteki kişilerin mesajlarını okuyabildiğini – ve web sitesinde “yalnızca siz ve iletişim kurduğunuz kişinin bunları görebileceğini, okuyabileceğini veya dinleyebileceğini” söylüyor. JusTalk ekibi verilerinize erişmeyecek!”
Ancak TechCrunch tarafından görülen devasa dahili veri önbelleğinin bir incelemesi, bu iddiaların doğru olmadığını kanıtlıyor. Veriler, gönderildikleri kesin tarih ve saat ile hem gönderenin hem de alıcının telefon numaralarıyla birlikte milyonlarca JusTalk kullanıcı mesajını içerir. Veriler ayrıca uygulama kullanılarak yapılan aramaların kayıtlarını da içeriyordu.
Güvenlik araştırmacısı Anurag Sen verileri bu hafta buldu ve TechCrunch’tan şirkete rapor etme konusunda yardım istedi. Mesajlaşma uygulamasının arkasındaki Çin merkezli bulut şirketi Juphoon, hizmeti 2016’da çıkardığını ve şu anda Ningbo Jus’a ait olduğunu ve bu şirket tarafından işletildiğini söyledi. Paylaş Juphoon’un web sitesinde listelenen ofisle aynı. Ancak JusTalk’un kurucusu Leo Lv ve diğer yöneticilere ulaşmak için yapılan çok sayıda çabaya rağmen, e-postalarımız kabul edilmedi veya geri gönderilmedi ve şirket sızıntıyı düzeltmek için hiçbir girişimde bulunmadı. Lv’nin telefonuna gönderilen bir metin mesajı teslim edildi olarak işaretlendi ancak okunmadı.
Verilere kaydedilen her mesaj aynı sohbetteki her telefon numarasını içerdiğinden, ebeveynleri ile sohbet etmek için JusTalk Kids uygulamasını kullanan çocuklar da dahil olmak üzere tüm konuşmaları takip etmek mümkün oldu.
Dahili veriler ayrıca ABD, Birleşik Krallık, Hindistan, Suudi Arabistan, Tayland ve anakara Çin’deki büyük kullanıcı kümeleriyle, kullanıcıların telefonlarından toplanan binlerce kullanıcının ayrıntılı konumlarını da içeriyordu.
Sen’e göre, veriler aynı zamanda üçüncü bir uygulamadan gelen kayıtları da içeriyordu. JusTalk 2. Telefon Numarası, kullanıcıların özel cep telefonu numaralarını vermek yerine kullanmak üzere sanal, geçici telefon numaraları oluşturmasına olanak tanır. Bu kayıtlardan bazılarının gözden geçirilmesi, hem kullanıcının cep telefonu numarasını hem de oluşturdukları her kısa ömürlü telefon numarasını ortaya çıkarır.
Verilerin nereden veya nasıl elde edilebileceğini açıklamıyoruz, ancak Sen’in verileri keşfetmede yalnız olmadığına dair kanıt bulduktan sonra kamuya açıklama lehine tartıyoruz.
Bu, Çin’deki bir dizi veri sızıntısının sonuncusu. Bu ayın başlarında, Alibaba’nın bulutunda depolanan bir Şanghay polis veritabanından yaklaşık 1 milyar Çinli sakini içeren devasa bir veri tabanı çalındı ve verilerin bir kısmı çevrimiçi olarak yayınlandı. Pekin henüz sızıntı hakkında kamuoyuna açıklama yapmadı, ancak sosyal medyadaki ihlale yapılan atıflar geniş çapta sansürlendi.