违反
移动数据:测验应用程序如何显示数百万的帐户详细信息

移动数据:测验应用程序如何显示数百万的帐户详细信息

UpGuard团队
UpGuard团队
出版于2020年6月2日
加入27,000多个网络安全通讯订阅者

UpGuard 现在可以报告包含 个人身份信息(PII) 而且,由多设备广告应用“ TVSmiles”收集的与数百万电话应用用户绑定的设备数据已得到保护。当前存在的261个数据库表中,“ core_users”表包含660万行。在包含电子邮件地址的条目中,901,000是唯一的。可公开访问的存储桶包含306 GB PostgreSQL数据库备份,未加密 个人身份信息  与单个用户匹配,根据测验响应,与智能设备的关联以及TVSmiles业务关系的帐户和登录详细信息,分析有关用户兴趣的见解。 TVSmiles是一家德国公司,其客户和用户主要位于欧洲,该地区于2016年通过了通用数据保护条例,并于2018年实施。 

发现

2020年5月8日,UpGuard分析师发现了 公共Amazon S3存储桶,其中包含与TVSmiles手机应用程序相关的应用程序的后续版本,以及自2017年以来的一个306 GB数据库备份文件。现代的在线广告生态系统。

2020年5月13日,UpGuard通知TVSmiles,并收到自动回复,确认收到通知电子邮件。如果在接下来的24小时内未收到进一步的答复,UpGuard会与PubNative联系, 收购了TVSmiles开发团队 在2019年末。值得称赞的是,TVSmiles的创始人随后在几个小时内发送了回复,感谢我们的通知,并告知我们数据已得到保护。 UpGuard跟进并向他确认,该数据不再可公开访问。 

意义

TVSmiles是一款手机应用程序,可向用户的设备提供游戏化的移动广告,目的是通过相关测验,广告和其他互动来增强电视观看体验。根据LinkedIn上的描述,“该应用以独特的方式结合了广告,游戏和广泛的移动会员计划。 TVSMILES不仅会简单地显示不适用于移动设备的笨拙广告,还将其作为琐事游戏进行阶段化,并奖励用户使用官方应用内货币“ Smiles”进行互动。”该应用程序通过广告产生收入,并且可以通过将其视为游戏或测验来更有效地吸引用户观看这些广告。在积极的反馈循环中,这些测验会提供有关用户兴趣的信息,这些信息可用于定位未来的广告。作为移动应用程序,TVSmiles还能够将每个用户的身份,个人资料和互动与其设备相关联。 

用户数据

根据 他们的LinkedIn页面,TVSmiles在德国和英国拥有200万用户,该数据库中的一个名为“ user_core”的表包含600万行,其中许多用户的“国家/地区”字段标记为整个欧洲的其他地区,因此该数据与成为主数据一致当时的TVSmiles数据库。 user_core表包含电子邮件地址,fb_user,fb_access_token,名字和姓氏,性别,出生日期,地址,电话号码,密码以及其他字段。并非所有用户都可以看到所有数据点-例如,只有与Facebook身份相关联的用户才能看到Facebook特定字段,并且通过Facebook进行身份验证的用户本质上不需要为应用创建密码由于该身份验证方法的功能。 

user_schema

商业用户

其他值得注意的表格包括“ business_clients”,其中列出了与“ business_client_users”中所列个人相关的公司。可以将这些名称解释为业务客户,他们已经付费在TVSmiles上发布广告,或者可以访问从最终用户应用程序交互中收集的见解。这些业务用户的哈希密码,电话号码,电子邮件地址,名称和其他数据点也都存在。相反,还提供了TVSmiles自己的凭证,用于与提供TVSmiles平台所需的供应商进行交互,例如广告交易,欺诈检测平台和电子邮件通信调度。如果该数据库已被恶意实体定位,则在UpGuard发现该数据库并发送适当的通知之前,这种凭据就有可能使攻击者冒充TVSmiles并从其他平台和服务提供商收集有关任意目标的其他信息。

设备数据

然而,在与最终用户设备有关的表中有大量的浓缩数据。除了user_core中的600万行之外,名为“ device_core”的表还包含750万行,这些行似乎与物理设备相关联。这些设备具有唯一的设备ID,访问令牌以及到其所有者的用户ID的映射。这些设备ID随后又与由2.35亿个条目行组成的“ tracking_token”表相关。 tracking_token表中的行包含campaign_id,placement_id,user_payout和Challenge_id等字段,以构建TVSmiles活动的图片(例如用户在每个设备上响应的广告和活动),然后可以将其链接回用户。 

token_rows

见解

从这些活动中收集到的“见解”被追踪为意图,兴趣和其他 心理素质。这些主题的范围从消费品(例如书籍,视频游戏,家具和服装)到用户的教育程度和更深奥的兴趣。其他表格进一步丰富了这些用户和设备附带的信息。的"user_insights"包含29.5万行的表格还包含反映用户的纬度,经度,全名和电话号码的数据。为此特定数据库配置的管理“视图”之一,称为“完整设备信息”,突出显示“ tracker_name”,令牌值和最近的气象站。  

结论

UpGuard对公开数据的研究通常与广告定位领域相交,因为该行业依赖于个人数据的广泛收集和集中。最近UpGuard报道了 消费者数据公司Tetrad的曝光,其中包含数百万美国人的详细资料。移动电话应用通常使用户跟踪他们收集的部分数据,并且 纽约时报报道,表面上的“匿名”数据就可以以移动设备收集的规模进行个人识别。正如《纽约时报》写道:“如果您能看到(从手机位置收集的数据的)全部内容,您可能永远不会再使用相同的方式使用手机了。”这些数据的一部分正是移动广告技术公司可以使用的,而当这些数据集公开时,世界上可以使用的部分。 

UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

保护您的组织

取得联系或预订免费演示。
抽象形状抽象形状

相关违规

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状