是的，您應該謹慎地將問題通知公司。

更新： @crovers提供了一個簡短但非常完整的答案。但是，如果您有耐心...

...這裡的問題不僅僅是跟踪J. Random Stranger的可能性，而是：

• 將您的ID提供給某人後，顯然您無法將其取回並且它不會過期。該人現在可以隨處關注您（請考慮“ 戀愛過度的女朋友”）。此外，該ID可能會洩漏。電子郵件會被錯誤地轉發，有時郵件程序中的 ... kbd>小字形會覆蓋很多敏感信息。

• 您不會甚至需要給予給我。如果ID是連續的[如@crovers所評論]，我可以在很短的時間內將所有ID製成表格，檢查它們的位置，然後輕鬆地找出距離足夠的五個或六個我知道您可能會進入。明天，另外五個或六個會足夠接近您現在所在的其他位置。在這五個中，也許兩個在原始五個中，所以您必須是兩個中的一個。在相對較短的時間內，我將候選人縮小為一個：我現在有了您的ID，可以跟踪您，而您都不是明智的。

• 我什至可能不認識您。該ID可用於惡作劇總數的陌生人。我只是在Google上搜索了一下，發現有成千上萬的Facebook用戶誇耀了他們的新名字（與GPS相關的小工具的名稱）。我使用了一個非常知名的品牌，所以您可以輕鬆找到您的小工具。我有信心，其中的一半會例行發布有關其位置的圖片（ Facebook是否清除EXIF GPS信息？）。 在很短的時間內，其中一位吸引我的對象可能會收到一條消息，指出“ Old Nowhereville的天氣如何？”即使他（或她）從未向任何人說過他（或她）在哪裡，也沒有在任何地方張貼任何東西。這樣的惡作劇-知道某些陌生人顯然對您感興趣，並且似乎總是知道您在哪裡-可能會完全破壞您的一天。他們可能會如果某些被惡作劇的人確信他們的GPS可以以某種方式“被遠程入侵”，那將完全毀了公司的命運，即使在這種情況下，這根本沒有發生。是的，我的想法很糟糕-但我不是唯一的一個，所以您可能需要將該公司的人員指向此頁面-並且，為了重申@crovers和Arminius提出的另一個非常好的觀點，這樣做匿名。對他們的潛在損害是巨大的，您正在通過向他們指出來幫他們。但是有些公司可能會產生（膝蓋）愚蠢的反應，並認為這解決了某些事情（甚至完全解決了問題），試圖欺負您。諾貝爾獎獲得者理查德·費曼（Richard P. Feynman）的故事很有趣，（“ 那是他的解決方案：我是危險！ ul>

  您實際上是在幫助他們。

  • 相信我，很多人會完全按照您的意願做在網址中看到“ id = XXXXX”時。我會做到的。根據小工具的受歡迎程度，我敢打賭其他許多人也會這樣做。因此，這並不意味著您要向原本可以保持安全的任何人釋放殭屍末日-您將很可能首先成為一個有良心告訴他們根本不安全的人。因為那比具有更改ID的好奇心要稀少得多。

  完全不是這樣。

  從公司的角度來看，

  很簡單

  ，通過允許每個用戶隨時選擇按需重新生成不同的秘密ID來解決此問題。甚至設置到期日期。 現在他們仍然可以這樣做。

  非常的快速解決方案是通過與數據庫連接的簡單過濾器代理其網站。

  您的新URL是 http://www.example.com/mylocation/?id=22b255b332474ae3e7f008cc50ebe3e0& ..。

  或一個可以翻譯的網址到“ true.pony.pile.main.jazz.call.mine.soft.pink.rake.jane”，以便通過電話更輕鬆地記住或命令。

  ^{前四個詞在某種程度上與“正確的電池”有關。}

  sup>。

  代理在數據庫中檢查並發現 22b255b332474ae3e7f008cc50ebe3e0 是有效的ID，並且與“真實”（或“舊”）ID 12345 相關聯，因此它可以通過簡單地將ID替換為來轉換URL 12345，將請求發送到真實的隱藏網站，返回頁面，用原始的 22b2 ... 內容和外部的嘿！重寫任何12345。用戶可以看到您所在的位置，和以前一樣，但是他無法知道真實的ID是12345（即使他知道，他也無法將其傳遞到系統中，該系統現在僅接受哈希）。

  但是現在，用戶12345可以擁有公司想要的活動ID（或 sells ！），並給他媽媽一個，給他媽媽一個，然後以此類推。一個ID洩漏，或者他與朋友分手-他使那個ID失效。還可以知道對每個ID進行了多少次訪問，因此偵聽可以是雙向的。可能僅適用於高級用戶：-D。對於某些ID，該網站甚至可能會發布隨機信息或低精度的GPS坐標。

  如果您想隨機猜測一個有效的ID，那麼，其中有2 ^{128 sup>個。如果每個客戶有一百個一次性ID（例如2 7 sup>），而公司有十億個客戶（例如2 30 sup>），則在2個以上仍然有大約一種可能性 90 sup>通過隨機嘗試獲得有效的ID。如果該值太小（或者我的數學碰巧有點歪斜），那麼哈希值也會更大。}

  舊的ID不再有效，因為如果沒有ID，您將無法訪問原始服務器

  考慮到合理的實施成本（一個開發人員和一名QA工程師需要花費兩天的時間，而我要大量填補 ），我就是 有點困惑，這不是從一開始就設計出來的。

是的。他們應該使用長而不可猜測的字符串，而不是可預測的短字符串。

我認為這是一個相對容易修復的安全漏洞。

但是，我會警告您-一些公司不能很好地處理這種情況。有些人（我認為是錯誤的）認為，更改該ID會構成黑客攻擊，他們可能會威脅要起訴或指控您。這太愚蠢了，但我建議您匿名或通過中介與他們聯繫。

檢查它們是否具有賞金計劃-（Google公司名稱和Bug賞金）。如果他們不這樣做，您可能要考慮使用中介機構-零日倡議就是其中之一。

要添加到其他答案中-請注意自己報告問題的風險：

如果您不具備報告安全問題的經驗，則可能會遇到他們是狡猾的，可能是惡意的。沒有處理安全問題經驗的公司可能會將您的報告轉發給公司律師，而不是IT部門。顯然，您只是想提供幫助，但主要是給他們造成麻煩。可能是，他們不希望此問題公開（這可能會對他們的商業聲譽造成極大損害），因此，它們可能會以法律後果威脅您。在最壞的情況下，他們將聯繫執法機構，而無需另行通知。

因此，您並不是偶然發現的。從公司的角度來看，您可以通過操縱URL來訪問其他客戶的數據-對他們而言，它的簡單程度和您出於“好奇”而進行操作並不重要。他們可能仍然會將您視為威脅，並做出不專業的反應。

您應該意識到這種可能的解釋，並仔細決定是否值得冒險。如果您在沒有合同或沒有鼓勵漏洞發現的公共政策的情況下處理安全漏洞，則您處於合法的灰色區域。

如果我是你，我會說

  Hello，我輸入了錯誤的ID（例如12345），然後按Enter鍵而不是退格鍵，我很傻，發現該頁面加載並找到一個具有我的ID的陌生人的位置（例如12346）。能夠在未經他們許可的情況下跟踪某人似乎是一個安全問題，因為在Facebook上了解我但具有一點IT知識的某人將是 

基本上，說您發現它不是出於好奇，而是出於偶然。也可以匿名匿名發送（例如，不要使用您的真實身份證，而使用諸如jon.doe@gmail.com之類的郵件）。

在發送之前檢查您的郵件，並可能讓您認識的人讀過它

閱讀它，就好像您是憤怒的擬人角色一樣，這可能有助於您使其平順，這樣您就不會再讓某個通過敲打腳趾在床頭上開始新的一天的人向您釋放憤怒。

如果他們一段時間不回答，或對此事不做任何事（可能是一個月或兩個月，因為這是中等安全性問題），那麼您希望他們做些什麼否則，您將嘗試警告其他用戶此問題。如果他們仍然什麼也不做，那就去做，但是要被警告，他們可能會不喜歡它。請參閱此zamfoo案例

堅持認為，如果您發現此問題如此瑣碎，則可能有更糟的人用於邪惡目的，而其他用戶可能偶然發現了這一點，並且也很擔心。

使用常識，使您看起來像是一個偶然的用戶，偶然發現了某個奇怪的用戶或該用戶的朋友，這也起作用。一點點“失誤”，很多平靜和禮貌對考驗水域大有幫助。如果他們看起來足夠友好，您可能會說您有能力（如果有），可以幫助他們跟踪問題。

如果您幫助他們並且他們很友好，您可能想問問他們是否希望您積極檢查其他潛在問題。 （如果他們在您方面有豐富的經驗，可能會幫助您找到工作（他們可以談論您，您有多好（友好但專業），等等。對於可能想要您的其他人。或者只是作為參考），或一些朋友。）

這也是他們獲得免費廣告的機會，如果他們的反應良好，您可能會傾向於與有興趣的人談論他們。

無論您和他們做什麼，保持冷靜，不要迅速升級，了解他們的觀點並且不要像威脅一樣出現（1）

如果您看起來像如果您做了一些愚蠢而沒有掩蓋的事情，您可能會給他們帶來超出您的幫助的最大損害，這是使它們處於防御狀態並獲得律師威脅/真實案例的最快方法。

（1）在大多數情況下，這不僅適用於安全問題，而且適用於或多或少生氣的人（同事，老闆）。

離題：您可能唯一想出現的威脅是，如果您受到某人的威脅/某物沒有任何東西可以對抗他們（例如，非常生氣的狗），請冷靜地走向他們，不要害怕（即使您變褐了褲子），它們也可能會開始吠叫，但它們會慢慢後退，讓您通過（或殺死/傷害您，但如果您逃離，那將是相同的）。

ps：批評我的話，我是一個愚蠢的人，我沒有絕對的真理，如果事情看起來更好，思考一下想法，做最好的事情，看看會發生什麼，學習。

（如果看起來過於結構化/太長/亂七八糟，我也不會咬人，也可以隨時提出修改建議。）

其他所有人似乎都在向這裡開槍。要考慮的關鍵部分是如何您是最終用戶，與其他最終用戶（家人/朋友）共享您的位置。

如果您通過鏈接查看信息，並且如果能夠將相同的鏈接發送給家庭成員，則假定您是公開發布信息（沒有授權系統）。

隱私聲明或使用條款應對此進行說明。誰可以訪問您的位置數據？公開提供了哪些信息？肯定會澄清您提出的問題。

使用簡單的Web鏈接不是我設計此類系統的方式，而是完全有意的。我可能建議您向他們詢問隱私設置。

這是一個有趣的問題，在大多數係統中，我認為這是暴露位置數據的不安全的直接參考漏洞。

實時gps位置應被視為敏感位置，它可能具有多種惡意用途。在這種情況下，雖然這是系統的整個要點，儘管我認為ID在保持可用狀態（例如為字母數字）的同時應該更難猜測，但特定用戶無法識別數據。您也可以使用密碼為您提供密碼，該密碼將提供給您希望授予訪問權限的用戶。

我認為這並不是安全隱患，只是實施不佳。問題是，如果一個陌生人瀏覽到您的頁面，您會覺得您的信息或隱私受到侵犯嗎？如果是這樣，請與製造商聯繫。

編輯：-修改了我對此的看法。我認為該系統容易受到攻擊。標識符應該更容易猜到，並且最好使用密碼保護。

由於直接對象引用和易於枚舉的ID，會出現此問題。我們不應該在任何系統中使用容易枚舉的ID，因為它會使攻擊者容易猜到。如果您無法猜測ID，那麼我們也可以降低直接對象引用的風險。他們應該為用戶提供一些隨機ID值或GUID來代表用戶。

我認為這是一個主要流程，公司應該提供一些API，供家人/朋友通過身份驗證，然後他們才能跟踪您。正如@Arminius所建議的，我們無法預測產品公司如何接受您的發現。最好將此通知為“匿名”。如果沒有，請使用負責任的披露模板或條款。

這不是不代表缺陷。他們似乎認為這是可以接受的風險。我想知道以編程方式循環遍歷UID並收集您可以參考以識別某人的數據有多麼容易。如果他們只是給ID加了鹽，您仍然可以公開共享它，但您不能輕易地在人們的位置之間循環。

我最近購買了衛星通訊器，當我在荒野遠足時，可以將其位置地圖發送給朋友和家人p>

基於突出顯示的內容，我認為此人主要是購買了跟踪設備，其主要目的是經常更新其在互聯網上公開可用的可預測位置的位置，以便搜索並救援服務，您可以免費輕鬆訪問您的位置信息以協助進行救援。

如果該設備未隨附帶有可預測網址的卡片，我不會感到驚訝。在上面寫上您的ID以獲取位置信息，以便在您需要救助時由您的家人將這張卡交給搜救。

如果數據得到保護，它將變得非常重要。搜索和救援獲得訪問權更成問題。尤其是由於該設備可以在全球範圍內運行，並且法律在不同位置存在差異，因此即使家庭成員可以提供其登錄憑據來搜索和救援團隊成員，也很有可能在法律上不允許他們使用您的憑據來使用該服務。 / p>

實時更新您的位置信息也特別有用，尤其是在步行很長時間且步行者仍在漫遊的情況下。

發送通知某人您當前位置的電子郵件的功能是一種簽到的方式。由於在x倍的時間之後或在特定的時間或在特定的時間和位置沒有簽到電子郵件，因此它是指示家庭成員進行搜救的電話。這是一種便宜的方式，無需購買實際的坐式電話即可辦理登機手續，而無需在半途中辦理登機手續。

我認為他們非常了解它不是安全的，並且也完全沒有風險，因為正如產品的整個意義一樣，就像另一個人所說的那樣……這完全是設計使然。

如果您不想被跟踪，請關閉設備，它將不再更新您的位置信息。

這樣的聲音就是產品的設計方式。它使用UID + LAT / LONG與他人共享您的位置...所以您基本上是說您發現了產品的設計方式。那裡沒有缺陷。他們是否應該在需要PIN或訪問位置數據的地方實施一個安全系統？當然。但是，如果產品的重點是共享您的位置，那麼您只是發現了查看他人位置的捷徑，這就是...等待它...它打算做什麼。

如果您願意，可以提交功能請求並說“嘿，您應該使用PIN或其他東西，因為任何人都可以看到別人的位置，等等”，但是根據您的描述，這似乎並不是一個缺陷。