據外媒TechCrunch報導，True自稱是一款能夠“保護你的隱私”的社交網絡應用。但由於安全漏洞，該公司的一台服務器卻曝光了用戶私人數據。這款應用於2017年由Hello Mobile推出，Hello Mobile是一家虛擬手機運營商，依附於T-Mobile的網絡。

True官方網站介紹稱，公司已經籌集到1400萬美元的種子基金並稱在推出後不久就擁有超50萬名的用戶。

但該應用的一個數據庫的控制面板在沒有密碼的情況下被暴露在網上，其允許任何人閱讀、瀏覽和搜索該數據庫–其中包括私人用戶數據。

迪拜網絡安全公司SpiderSilk的首席安全長Mossab Hussein發現了這個被暴露的控制面板並向TechCrunch提供了詳細信息。來自搜索引擎BinaryEdge提供的數據顯示，該曝光早在9月初就已經發生。

在TechCrunch聯繫True之後，這家公司對控制面板進行了離線處理。

True CEO Bret Cox雖然向Techcrunch證實了安全漏洞的存在，但並沒有回答他們提出的具體問題，包括該公司是否計劃通知用戶存在安全漏洞或否計劃根據州數據洩露通知法向監管機構披露該事件。

據了解，控制面板包含了從今年2月開始的每日服務器日誌，像用戶註冊的電子郵件地址或電話號碼、用戶之間的私人帖子和消息內容以及用戶最後已知的地理位置–這些地理位置則可以識別用戶過去或曾經的位置。另外，控制面板還會暴露用戶上傳的電子郵件和電話聯繫方式，True會在應用中使用這些信息來匹配已知的朋友。並且這些數據都沒有進行加密處理。

TechCrunch通過創建一個測試賬號並要求Hussein提供只有他們自己知道的數據如註冊賬號時使用的電話號碼確認了這一情況。

Hussein指出，控制面板還對外洩露了賬號訪問令牌，這些令牌可以用來入侵和劫持任何用戶的賬號。雖然這些賬號訪問令牌看起來像一行隨機的字母和數字，但用戶無需每次輸入就可以登錄到應用中。Hussein就使用TechCrunch的測試帳號在控制面板中找到了後者的訪問令牌，並使用它訪問其帳號並在上面發布消息。

此外，控制面板還顯示了一次性登錄代碼，True會將這些代碼發送到與賬號關聯的電子郵件地址或電話號碼，而不是存儲密碼。

True表示，在刪除賬號後與其有關的所有內容都會從該公司的服務器被清除。然而TechCrunch經過測試發現事實並非如此，他們仍可以在控制面板上搜索到其私人信息、帖子和照片等。

目前，TechCrunch無法聯繫到Hello Mobile的發言人。