知名女同志交友軟體資料未加密，上百萬用戶私隱被看光

2019.03.28 

有超過530萬用戶的中國知名女同志交友軟體「熱拉」，因伺服器未加密而使上百萬用戶的資料遭到暴露。這項疏忽造成在個資方面特別敏感的同志族群面對相當大的風險。

熱拉伺服器未加密，私密個資全曝光

這項資安漏洞是由非營利組織GDI Foundation的研究員Victor Gevers所發現。他表示熱拉的資料庫從去年6月起就已暴露在未加密的風險下。資料庫內的每一筆個人資料都包含用戶的暱稱、生日、身高體重、族群、以及性傾向與喜好，而部分提供位置讀取的用戶，連所在地理位置也流出。資料庫內還記錄超過2億個動態更新，其中包含一些私密的個人資料。

中國在1997年將同志除罪化後，社會對LGBTQ+的接受風氣雖有進步，但進展的速度卻相對緩慢。Gevers表示：「由於中國沒有反性傾向歧視法，因此這項資安風險對這500多萬的LGBTQ+用戶來說是一件相當危險的事。」 針對此事，熱拉發言人表示目前資料庫已完成加密。

這不是第一次熱拉引發眾議。在2017年5月，熱拉無預警遭下架，耗時一年後才恢復。外界稱這是來自中國政府的壓力，不過政府方面對此否認，表示並不知情。但另一個知名同志交友軟體Zank也曾於2017年4月被禁，遭控違反政府法規、宣傳色情內容。

同志軟體Grindr意外捲入中美貿易戰

另一項知名同志交友軟體Grindr，也因個資安全問題引發關注。原本由美國廠商開發的Grindr，去年被中國遊戲及科技公司昆侖萬維買下，引來美國海外投資委員會（CFIUS）的關注。根據Reuters報導，CFIUS已通知昆侖萬維，表示其併購Grindr一事對美國造成資安威脅。雖然CFIUS並未明列詳細原因，但外界認為在中美貿易戰的影響下，這項決定顯示美國政府對中資掌握用戶個資的擔憂。

知情人士表示，昆侖萬維在2016年及2018年分批透過兩次交易收購Grindr，而這兩次交易都未經過CFIUS的審查。美國參議員Edward Markey及Richard Blumenthal表示，政府應該為涉及敏感個資的外資收購案劃分出明確的界線。

美國政府近年來逐步加強對App開發者在個資安全防護上進行審查，擔心重要人物如軍方及政府官員的資料遭竊。而Grindr上的資訊則更加敏感，除了用戶的地理位置、私訊、性傾向甚至連HIV的感染資訊都有紀錄。目前昆侖萬維已停止原本為Grindr準備IPO的計畫，並透過投資銀行希望將Grindr轉賣回美國的公司。