2000万を超えるファイルが9種類の出会い系アプリから漏洩
セキュリティで保護されていないデータベースがどれほど危険であるかを証明するために、最近、研究者のグループがElasticsearchのインストールにダミーデータを入力し、故意に誤って構成し、ハッカーがそれを見つけて情報の収集を開始するのにかかる時間を確認しました。 最初の攻撃は、データベースがオンラインになってから8時間以内に目撃され、その後10日間、ハニーポットは1日あたり平均18回アクセスされました。これらの結果は、ご想像のとおり、データの一部が安全性の低いデータベースに保存されていたニッチな出会い系アプリのユーザーにとっては特に憂慮すべきものです。
少なくとも9つの出会い系アプリが、セキュリティで保護されていないS3バケットで明示的なユーザーデータを公開しました
これは、VPNMentorのNoam RotemとRan Locarが率いる研究者チームが行った非常に長い一連の発見の最新のものです。彼らの大規模なWebマッピングプロジェクトの一環として、彼らが置か月24に合計で保護されていないAmazon WebサービスS3バケットを、データベースには、845ギガバイトの重2040万ファイルが含まれていました。
データベースの興味深い点の1つは、公開された個人を特定できる情報が制限されていたことです。ただし、メディアファイルは非常に多く、所有者が非公開のままにしておくことを望んでいたことは間違いありません。顔が見える性的に露骨な写真、チャットの会話のスクリーンショット、音声メッセージ、および金融取引の詳細が多数ありました。
公開されたユーザーのプライバシーを保護するために、研究者たちはデータを徹底的に調べないことを決定しました。つまり、影響を受ける個人の正確な数を正確に推定することは不可能です。しかしながら、RotemとLocarは彼らの報告の中で何十万人、そしておそらく何百万人ものユーザーが関与していると述べました。
複数の出会い系アプリケーションによってデータが漏洩した。研究者の調査により、彼らは「Cheng Du New Tech Zone」と呼ばれる会社につながり、Google Playの複数の接続アプリケーションの連絡先セクションにリストされていました。アプリのウェブサイトデザインの類似性から、同じグループの人々によって開発されている可能性が高いことが確認されました。ここにリストがあります:
- GHunt
- ヘルペスデート
- SugarD
- カジュアル
- BBWデート
- Xpal
- ゲイパパクマ
- クーガリー
- 3いくつ
専門家はこれらの9つのアプリケーションが侵害に関与したことを確信していますが、同じ開発者による他のアプリのユーザーも影響を受ける可能性があると考えています。
リークの結果は恐ろしいかもしれません
良いニュースは、データがオンラインではなくなったことです。リークのあるバケットを発見してから2日後、研究者たちは影響を受けたアプリのいずれかの問い合わせフォームを使用しましたが、驚いたことに、ほぼ即座に返信を受け取りました。 VPNMentorのチームは、いずれかのデータベースのURLを送信することにより、詳細情報の要求に応答しました。開発者が研究者とこれ以上通信しないことを決定したという事実にもかかわらず、すべてのデータは24時間以内にオフラインにされました。執筆時点では、一部のアプリもGoogle Playから削除されているようです。
これはすべてうまくいっていますが、言うまでもなく、開発者が最初から間違いを犯してはいけません。ご覧のとおり、私たちはあなたの典型的なTinderの競合他社について話しているのではありません。アプリは、非難される可能性のある特定の性的嗜好やフェチを持つ人々を対象としています。それらを使用する人々はおそらくそれを公に発表したくないでしょう、そして彼らは確かに彼らが互いに共有している写真や会話を公開したくないでしょう。データが悪意のある人物に渡った場合、犯罪者は画像を漏らしたり、影響を受けた個人をドックスしたり、それらを強要したりする可能性があります。仕事が失われたり、家族が壊れたり、評判が台無しになったりする可能性があります。
出会い系アプリを維持することは常により高い責任を負います。人々はこれらの製品を最も親密な秘密で信頼することがあり、成都新技術区の出会い系アプリケーションの場合、彼らの信頼は誤った場所に置かれたと安全に言えます。彼らが今できる唯一のことは、最初の段落で話し合った研究論文での発見にもかかわらず、VPNMentorの専門家以外の誰も明示的なデータを見たことがないという希望です。