Whisper, anonimowa aplikacja mobilna do dzielenia się sekretami, która zyskała rozgłos ponad pół dekady temu, nieumyślnie ujawniała wrażliwe informacje o swoich użytkownikach przez lata za pośrednictwem publicznej bazy danych online, zgodnie z nowym raportem The Washington Post.
Aplikacja, choć daleka od popularności, jaką cieszyła się w kilka lat po premierze w 2012 roku, wciąż jest używana przez ponad 30 milionów osób miesięcznie, z których część ma mniej niż 18 lat i dzieli się wyznaniami na temat nastoletnich spotkań seksualnych oraz informacjami związanymi z orientacją seksualną. Według The Post, który był w stanie aktywnie przeszukiwać bazę danych w czasie rzeczywistym, zanim Whisper ją usunął, wyszukiwanie użytkowników, którzy podali się za 15-latków, zwróciło aż 1,3 miliona wyników.
Baza danych nie zawierała prawdziwych nazwisk, ponieważ Whisper został zaprojektowany, aby chronić tożsamość użytkowników i pozwolić im dzielić się sekretami anonimowo. Jednak rekordy pozostawione w sieci zawierały takie informacje jak wiek, lokalizacja, pochodzenie etniczne, miejsce zamieszkania, pseudonim w aplikacji oraz przynależność do którejkolwiek z grup aplikacji.
Rekordy nie zawierały tylko aktualnych użytkowników. Według badaczy bezpieczeństwa Matthew Porter i Dan Ehrlich, którzy prowadzą firmę Twelve Security, baza danych zawierała prawie 900 milionów rekordów użytkowników od wydania aplikacji ponad osiem lat do dnia dzisiejszego, raporty The Post. Porter i Ehrlich powiedzieli, że powiadomili federalne organy ścigania o sytuacji, jak również Whisper, przed skontaktowaniem się z The Washington Post. Dopiero gdy The Post dotarł do firmy MediaLab, będącej rodzicem Whispera, baza danych stała się prywatna.
„To bardzo mocno naruszyło społeczne i etyczne normy, które mamy wokół ochrony dzieci online”, powiedział Ehrlich, dodając, że działania MediaLab były „rażąco niedbałe.”
MediaLab kwestionuje ustalenia badaczy, twierdząc, że informacje miały być publiczne i dostarczone przez samych użytkowników jako cecha aplikacji. W szczególności, udostępnianie lokalizacji został zaprojektowany, aby dodać autentyczności do postów, w których czyjeś położenie lub status, jak aktywny członek wojska, było istotne.
Jednak MediaLab powiedział The Post baza danych „nie została zaprojektowana do bezpośredniego zapytania,” i usunął informacje w wyniku. Firma znalazła się również w gorącej wodzie kąpana w przeszłości nad jej obsługą danych użytkownika, jak w 2014 roku, kiedy to ujawniono, że firma zbierała dane o lokalizacji użytkowników bez ich zgody, a nawet jeśli wyraźnie zrezygnowali. The Post twierdzi, że ujawniona baza danych ilustruje, że MediaLab nadal zbierał dane o lokalizacji użytkowników nawet po tym, jak kontrowersje się skończyły.