视频会议应用 Huddle01 泄露用户数据：电子邮件、钱包地址遭曝光

Huddle01 视频会议应用程序，主打去中心化 WebRTC 技术，曾向用户承诺更高的安全性。然而，该应用存在未受保护的服务器，导致包含电子邮件、IP地址及加密货币钱包地址在内的敏感用户数据遭泄露。

关键要点：

Cybernews 研究团队发现了一个公开可访问且未受保护的 Kafka Broker 实例，该分布式事件流平台正传输某视频会议平台的实时日志。数据未采用任何身份验证、加密或其他访问控制措施进行保护。

该实例包含过去 13天内超过 62.1 万条日志记录，属于 Graphene01 实验室开发的应用 Huddle01。

应用开发商在应用商店声明称，该应用不会收集用户数据或与第三方共享数据。

应用描述称：“Huddle01 Meet让您的视频会议和音频通话更安全高效。”

然而暴露的实例包含以下内容：

所有数据均实时传输，任何第三方均可未经认证访问这些数据。

“该应用自称拥有逾 10 万用户，相较于其他 Web3 项目颇具人气，深受加密货币爱好者青睐。然而，区块链的集成也使他们面临更大的风险，因为它有助于消除加密货币钱包所有者的匿名性并绘制他们的关系图。”Cybernews 研究团队指出。

“颇具讽刺意味的是，一个倡导去中心化与隐私保护的平台，竟在加密钱包上贴上姓名标签，并附带联系方式及其他元数据。”

“Huddle01：视频会议应用程序”在 Google Play 商店的下载量超过 50,000 次，在 iOS App Store 上有 51 个评分，平均评分为 4.7 星。

Cybernews 负责任地向该公司披露了数据泄露事件。然而，该公司并未对最初的披露和后续尝试做出回应。一个月后，暴露的服务器仍然可访问。目前尚不清楚有多少其他第三方可能访问了这些数据。

在撰写本文时，Kafka 代理实例仍然处于打开状态。

该平台的隐私政策写道： “Huddle01 致力于在其去中心化通信基础设施中实现数据透明度、用户控制和负责任的数据管理。”

用户信息处于危险之中

Cybernews 研究人员检查了暴露的服务器，发现其中包含超过 621,000 条日志条目，涵盖 13 天的时间跨度，从 2025 年 8 月 13 日 19:21 UTC 到 2025 年 8 月 26 日 8:54 UTC。许多日志条目是重复的，因为每次用户加入或断开会议时都会生成日志。

包含个人信息的未加密日志包含公司域名，这使得归属变得更容易。

Kafka Broker 专为实时数据流传输和处理而设计，它通常不会像传统数据库那样保留所有历史数据。缓存中保存的流消息数量取决于各个集群的配置。

“我们观察到新条目正在实时添加。恶意行为者可能会让‘收集器’监听不安全的 Kafka 代理长达数月之久，以获取更多客户行为数据和其他信息，”Cybernews 研究人员表示。

根据Huddle01的白皮书，该平台旨在构建一个去中心化的实时通信（RTC/dRTC）网络及相关工具。

然而，此次泄密表明该平台使用集中式基础设施来存储和传输敏感用户信息，因此它并不比其他替代方案更安全。

研究人员解释说：“暴露的个人身份信息以及加密钱包地址，会导致针对平台用户的一系列攻击。网络犯罪分子可以尝试有针对性的网络钓鱼攻击，构建关系图，并将其用于更复杂的社会工程攻击。”

泄露的信息有助于识别持有大量加密货币的用户，并利用泄露的电子邮件和与其他用户的关系来锁定他们。

Huddle01 是由总部位于美国特拉华州的私营公司 Graphene01 Labs 开发的平台。Huddle01 致力于构建一个去中心化的通信网络，使跨链钱包持有者能够进行高质量的音频/视频会议。

如果没有启用身份验证、加密和 IP 白名单功能，任何人都可以连接到 Kafka Broker 实例并访问通过 Broker 发送的数据。泄露此类数据的公司可能会因未能保护私人客户信息而面临法律、声誉和财务方面的后果。

Cybernews 研究团队建议：“确保启用身份验证功能，数据在传输过程中加密，并且 Kafka 实例不再可从开放互联网访问。”

应用程序用户应保持警惕，并警惕针对其电子邮件地址或社交媒体帐户的潜在加密相关诈骗。

研究人员建议：“为了将钱包地址与身份解除关联，用户应该清算当前使用的加密钱包中的资金，停止使用泄露的地址，并创建新的地址。”

内容源自：https://cybernews.com/security/video-call-app-huddle01-leaks-sensitive-user-data/

本文来自作者投稿，版权归原作者所有。如需转载，请注明出处：https://www.nxrte.com/zixun/62218.html