某键盘APP在后台收集用户数据 超过577G数据泄露

近日，又发生一起数据泄露事件，键盘APP——AI.type 所收集的用户个人数据泄露。

Kromtech Security Center 的一些安全研究员在网上偶然发现超过3千万该软件用户的个人数据。这些数据位于 MongoDB 数据库，完全暴露在网上，并无任何保护机制。

这个配置错误的MongoDB 数据库似乎属于Ai.Type，一个电话 Aviv-based 的创业公司, 为移动设备和平板电脑设计和研发个性化的键盘，包括 Android 和 iOS 设备。

此次共有约577G数据泄露，其中还包括一些用户的敏感信息，安全研究员目前能够获取约31,293,959个用户的数据和细节。

泄露的数据包括：

1. 用户名、电话号码、和邮件地址

2. 设备名称、屏幕分辨率和型号

3. Android版本、IMSI号和IMEI号

4. 移动网络名称、居住地址和用户所使用语言

5. IP地址，GPS地址（经纬度）

6. 社交账号相关链接和信息，包括生日、邮件和照片

让人震惊的是，用户下载Ai.Type时，必须允许该设备可以访问存储在该设备上的所有数据。

为什么一个键盘和表情应用程序需要收集用户手机或平板电脑的所有数据呢？

泄露的数据库包含6,435,813 个记录是用户的通讯录信息，还有超过3亿7千3百万注册用户的手机信息，其中包括所有的通讯录和同步的Google账户。

还有一系列其他统计数据, 如最受欢迎的用户对不同地区的 Google 查询。数据如每天的平均消息、每条消息的单词、用户的年龄等等。

这些数据对这款键盘软件而言不是必需品。那为什么一个键盘和表情应用程序需要收集用户手机或平板电脑的所有数据呢？这一点让人困惑。

这个故事告诉我们，每当我们下载一个APP，我们被攻击的可能性就增加一倍。而大多数情况下，用户并不清楚该软件究竟收集了多少数据，而这些数据会被用来做什么。