Whisper, en anonym mobilapp för att dela hemligheter som blev känd för mer än ett halvt decennium sedan, har oavsiktligt exponerat känslig information om sina användare i flera år genom en offentlig databas på nätet, enligt en ny rapport från The Washington Post.
Appen är visserligen långt ifrån lika populär som den var under de få åren efter att den släpptes 2012, men den används fortfarande av mer än 30 miljoner människor i månaden, varav en del är under 18 år och delar med sig av bekännelser om sexuella möten i tonåren och information om sexuell läggning. Enligt The Post, som aktivt kunde söka i databasen i realtid innan Whisper tog ner den, gav en sökning efter användare som angav sig själva som 15 år gamla så många som 1,3 miljoner resultat.
Databasen innehöll inga riktiga namn, eftersom Whisper var utformad för att skydda användarnas identiteter och låta dem dela med sig av hemligheter anonymt. Men de poster som lämnades oskyddade online innehöll information som ålder, plats, etnicitet, bostadsort, smeknamn i appen och medlemskap i någon av appens grupper.
Posterna innehöll inte heller bara aktuella användare. Enligt säkerhetsforskarna Matthew Porter och Dan Ehrlich, som driver företaget Twelve Security, omfattade databasen nästan 900 miljoner användaruppgifter från appens lansering för mer än åtta år sedan till idag, rapporterar The Post. Porter och Ehrlich sade att de meddelade federal brottsbekämpning om situationen, liksom Whisper, innan de kontaktade Washington Post. Först när The Post kontaktade Whispers moderbolag MediaLab gjordes databasen privat.
”Detta har i hög grad brutit mot de samhälleliga och etiska normer som vi har kring skyddet av barn på nätet”, säger Ehrlich till The Post och tillägger att MediaLabs agerande här har varit ”grovt oaktsamt”.
MediaLab bestrider forskarnas resultat och säger att informationen var tänkt att vara offentlig och att den tillhandahölls av användarna själva som en funktion i appen. I synnerhet var delning av plats utformad för att ge autenticitet åt inlägg där någons plats eller status, t.ex. en aktiv militärmedlem, var relevant.
MediaLab berättade dock för The Post att databasen ”inte var utformad för att kunna frågas ut direkt” och att de tog bort informationen som ett resultat av detta. Företaget har också tidigare hamnat i blåsväder på grund av sin hantering av användardata, till exempel 2014, då det avslöjades att företaget samlade in lokaliseringsuppgifter om användarna utan deras samtycke och även om de uttryckligen valde att inte göra det. Enligt The Post visar den avslöjade databasen att MediaLab fortsatte att samla in användarnas lokaliseringsuppgifter även efter det att kontroversen hade blåst över.