Mozilla警示:经期追踪应用Stardust向第三方共享用户敏感健康数据
根据Mozilla近日发布的一项最新调查,备受用户关注的经期追踪应用“Stardust”被曝存在数据隐私隐患,该应用在未明确告知用户的情况下,将敏感的健康信息共享给了第三方数据分析公司RudderStack。

据悉,Stardust在其官方网站上曾公开宣称“您的数据是私密的。句号。”(Your data is private. Period.),以此建立用户信任。然而,Mozilla研究人员通过对该应用的网络流量进行深度分析后发现,Stardust不仅收集了用户的出生日期、避孕方式、生殖健康目标以及具体的身体症状等高度敏感信息,还将其传送给了数据分析公司RudderStack。虽然Stardust在传输数据时使用了唯一标识符替代了用户的真实姓名,但美国联邦贸易委员会(FTC)此前已多次警告,这种做法并不能真正实现匿名化,且极易被追溯关联至具体个人。
Mozilla的安全研究员莎莎娜·沃丁斯基(Shoshana Wodinsky)在对六款热门经期追踪应用进行的对比测试中指出,Stardust是其中唯一一家被发现向第三方共享敏感健康数据的应用。研究表明,此类数据共享行为通常隐藏在应用的后台活动中,用户在使用时根本无法察觉。尽管应用程序为了存储、分析或支付等目的与第三方服务进行交互并不罕见,但此类行为却带来了不可忽视的安全风险,包括潜在的数据泄露风险,以及执法部门可能通过第三方渠道索取用户健康数据的法律隐患。
面对质疑,Stardust的一位发言人回应称,公司已通过合同禁止RudderStack出售或将相关数据用于其自身目的。然而,法律专家分析认为,作为美国本土企业,Stardust和RudderStack依然无法拒绝执法部门合法调取存储在服务器上的用户数据。
这并非Stardust首次陷入隐私信任危机。早在2022年,美国取消宪法规定的堕胎权保障后,Stardust下载量激增。当时该公司声称应用具备“端到端加密”功能,即便公司内部也无法访问用户数据,但科技媒体TechCrunch随后通过技术分析证实,该声明并不属实。
在此次对比测试中,Mozilla研究团队特别推荐了另一款名为“Euki”的应用,将其评价为“非常干净”的选择,原因是该应用在核心功能运作时不会向第三方共享任何数据,且所有用户健康信息均保留在本地设备端,不会外传。截至发稿时,Stardust创始人瑞秋·莫拉尼斯(Rachel Moranis)尚未就此研究结论及公司是否收到过数据调取请求做出进一步回应。

