Scruff anskaffer Jack'd, Dating-appen, der afslørede brugernes nøgenbilleder

Tech


Scruff anskaffer Jack'd, Dating-appen, der afslørede brugernes nøgenbilleder

Blot to uger efter at have fået en bøde på hundredtusindvis af dollars for at have afsløret sine brugeres nøgenbilleder, har dating-appen Jack'd fundet udgangstegnet.

Scruff, en privatejet dating-app, der henvender sig til homoseksuelle og biseksuelle mænd, købte Jack'd for et ikke oplyst beløb. Købet kommer, da Jack'd forsøger at komme forbi en privatlivsskandale og forsikre brugerne om, at deres intime kommunikation forbliver uset af nysgerrige øjne.


[Fuld afsløring: The Daily Beast ejes af IAC, som også ejer Match Group, det selskab, der driver Tinder, OkCupid, Hinge og andre dating-apps.]

Den 28. juni indvilligede Online Buddies – moderselskabet til Jack'd, som også ejer det homoseksuelle datingside Manhunt – i at betale $240.000 i et forlig med New York Attorney Generals kontor, efter at næsten 2.000 New York-brugere fik eksponeret deres nøgenbilleder via en usikret Amazon-skyserver. En anden sårbarhed afslørede også brugernes placeringsdata, enheds-id, operativsystemversion, sidste login-dato og hash-kodede adgangskoder.

Jack'd giver en bruger mulighed for at uploade et album med offentlige billeder til deres profil - 'nøgenhed forbudt,' instruktionerne direkte - og et andet album med private billeder, der kræver tilladelse til at se. Disse skjulte billeder har ingen sådan begrænsning på seksuelt eksplicit indhold. Begge typer billeder blev dog udeladt i det fri på den usikrede server.

Ud over bøden forpligtede virksomheden sig til væsentligt at forbedre sikkerheden i sin app som en del af forliget.


Online Buddies er fortsat ansvarlig for at betale bøden, ifølge en talsmand for justitsministerens kontor, men Scruffs moderselskab Perry Street Software vil nu være ansvarlig for at implementere sikkerhedsopgraderinger. Talsmanden tilføjede, at kontoret har til hensigt at sikre, at vilkårene i forliget følges, og brugernes privatliv er beskyttet.

'Muligheden for at erhverve Jack'd var en særlig unik en,' fortalte Eric Silverberg, administrerende direktør for Perry Street, til The Daily Beast.

'Jack'd var en af ​​de tidligste og største queer spaces og queer apps på markedet,' sagde Silverberg og tilføjede, at opkøbet er en mulighed for Scruff til at ekspandere på markeder som Østasien.

Silverberg sagde, at Perry Street altid planlagde at revidere Jack'd-teknologien, men at hans firma havde underrettet statsadvokaten om opkøbsforhandlingerne for at sikre, at deres intentioner var i overensstemmelse med forligets vilkår. Jack'd vil fortsætte med at fungere som en selvstændig app.


Virksomheden siger, at det planlægger at redesigne appen fra bunden, hvilket forbedrer Jack'd-brugeres kontrol over deres privatliv og ændrer nøglefunktioner. Annonceoplevelsen vil også ændre sig: Scruff holdt op med at vise brugere programmatisk annoncering i slutningen af ​​2018, og Jack'd vil følge trop efter opkøbet.

Attorney General straffede Online Buddies ikke kun for sikkerhedsfejlen, men også for at se den anden vej efter at være blevet opmærksom på det. Selvom fejlen først blev offentligt rapporteret i februar 2019 , havde en sikkerhedsforsker underrettet virksomheden om sårbarheden et år før uden effekt.

Perry Street lærte om bruddet på samme tid som den brede offentlighed, ifølge Silverberg, selv om virksomheden var mere end seks måneder inde i diskussioner om købet af Jack'd. Han sprængte Online Buddies' svar på problemet.

'[Perry Street] vil altid prioritere den slags problemer. Jeg kan ikke engang fatte et scenarie, hvor nogen ville gøre os opmærksom på dette, og vi ville ikke tage fat på det med det samme. Det var ærligt talt uoverskueligt for os, da vi første gang læste om det i februar,” sagde han og tilføjede, at Scruff ikke har klaret et databrud.


Silverberg, der identificerer sig som homoseksuel, sagde, at arbejdet med at beskytte brugernes privatliv har særlig resonans for ham, da han og andre på Perry Street er medlemmer af LGBTQ-fællesskabet og brugere af deres eget produkt.

'Hvis der er forslag om et databrud eller et sikkerhedsproblem, stopper vi det, vi laver, og arbejder ubønhørligt, indtil det er rettet,' sagde han. »Det arbejde, vi udfører, er personligt for vores medlemmer, og det er personligt for os. Vi deler vores fællesskab, deler denne app med vores venner og kære.'

Jack'd er ikke alene blandt sine privatlivsproblemer. Flere andre højprofilerede dating-apps har været udsat for brud eller undladt at beskytte deres brugere i de seneste år. Det viste sig, at homoseksuelle dating-appen Grindr deler brugernes hiv-status og placering med tredjeparts app-optimeringsvirksomheder i april 2018 , selvom den lovede at stoppe.

En Tinder-sårbarhed, der blev afsløret sidste år, gjorde det muligt for hackere at overtage konti ved hjælp af kun et telefonnummer . Virksomheden lappede det før offentliggørelsen. I februar, nogle OkCupid-brugere rapporterede hackede konti , men virksomheden nægtede et databrud. OkCupid, Match og andre store datingsider tilbyder stadig ikke to-faktor-godkendelse - en af ​​de mest robuste måder for brugere at sikre konti.