出会い系アプリはクライアントを再び保護できません:6アプリは何百万ものレコードをリークします
私たちがインターネットで最も気に入っていることの1つは、インターネット上で非常に多くの情報を見つけることができるという事実です。不思議なことに、インターネットで私たちが最も嫌うことの1つは、インターネット上で非常に多くの情報を見つけることができるという事実です。たとえば、 WizCaseのセキュリティ研究者は最近、どこを見ればよいかを知っていれば、6つの出会い系アプリのユーザーが、パスワードで保護されておらず、世界中のどこからでもアクセスできるデータベースに公開されている個人情報を見つけることができることを発見しました。
Table of Contents
安全性の低い5つのデータベースが、個人情報でいっぱいの何百万ものレコードを漏洩
専門家は、3つのElasticSearchインストール、Amazon S3バケット、およびインターネットに公開されていて認証なしでアクセス可能なMongoDBデータベースを発見しました。ベンダーのうち2つは米国に本拠を置き、2つは韓国にあり、1つは日本で事業を行っており、それらすべてが出会い系サイトとアプリケーションを実行しています。以下は、サービスの名前とリークしたデータです。
- CatholicSingles.com
- SPYKX.com
- ティキ
- ぼやけた
- チャリンとキュン
S3バケットの重量はわずか17MBで、やや控えめな5万件のレコードを保持していました。ほとんどのプロファイルは禁止されているようですが、最後に記録されたアクティビティは最近のものであり、漏洩したデータが有効である可能性が高いことを示しています。名前、メールアドレス、電話番号、年齢、性別、職業、請求先住所、支払い方法などが含まれます。
SPYKX.comは、いくつかの異なるサービスを開発および実行する韓国のベンダーです。それらの1つはCondaq / Kongdakと呼ばれる出会い系アプリケーションであり、何らかの理由で、開発者はアプリのユーザーデータの一部を保護されていないElasticSearchサーバーに配置することをお勧めします。約123千件のレコードが、メールアドレス、プレーンテキストのパスワード、生年月日、さらにはGPSデータなど、600MB相当の個人情報を公開しました。
ティキは「新しい種類の出会い系アプリ」であるとされており、そのウェブサイトによると、ユーザーは、日付が表示される可能性のある個人情報の種類を制御できます。この主張は、Tikiの開発者が単純なブラウザーでアクセス可能なMongoDBデータベースに上記の情報の一部を入れたことを考えると、特に皮肉なことです。 4,000件を超えるレコードが公開され、ユーザーの評価やアクティビティログから、名前、電話番号、日付の場所など、あらゆるものが含まれていました。
Blurryは韓国の出会い系アプリケーションで、ビデオ通話中にユーザーが画面をぼかすことができます。これはおそらく、恥ずかしがり屋で対話するのが難しい、または自分の外見にあまり自信がないユーザーを対象としています。プライベートな会話の一部が適切に構成されていないElasticSearchサーバーによって公開されていることを知ったとき、これらの人々がどのように感じるかを想像するだけです。 7万件のレコードには個人情報は含まれていませんでしたが、流出したメッセージには、WhatsAppの番号、Instagramのハンドルなど、被害者をあらゆる種類の攻撃にさらす可能性のある情報が多数含まれていました。
さらに別の誤って設定されたElasticSearchデータベースは、CharinとKyuunの開発者に属します–同じ会社によって実行されているように見える2つの日本のアプリ。 57GBの公開データと1億強強のレコードが公開されており、これはこれまでで最大のリークでした。心配なことに、データベースには、ユーザーID、モバイルデバイス情報、検索設定に加えて、電子メールアドレスとパスワードがプレーンテキストで含まれていました。
それはすでにかなりの漏れでしたが、WizCaseの調査はそこで止まりませんでした。
専門家はさらに6つの保護されていないデータベースの所有者を特定できませんでした
研究者たちは、データでいっぱいのさらに6つの安全でないデータベースを発見しました。再び、出会い系サービスのユーザーが影響を受けましたが、今回は、開発者がリークの責任を負っていないようです。
専門家は、データをいくつかのアプリ(Zhenai、Say Love、Netease、Love Chat、Companion)にリンクすることに成功しました。ただし、データベースには個人を特定できる情報は含まれておらず、おそらくWebスクレイピングの結果であると述べています。また、サイバー犯罪者はその情報を使用して、他の公に利用可能なプロファイルを識別し、潜在的にはより機密性の高いデータにアクセスする可能性があります。
ユーザーは何に注意する必要がありますか?
デートアプリがユーザーデータを漏らすのを見るのは決して楽しいことではありません。私たちが今日話しているサービスは、数週間前に話し合ったものほどニッチではありませんが、影響を受ける個人は、彼らがそれらを使用していることを知っていることを必ずしも全世界に熱心ではないかもしれません。
残念ながら、非常に多くのアプリが関係しているため、リークの影響を受ける人の数を知る方法はありません。しかし、私たちが知っていることは、この記事で言及されているサービスのいずれかを使用したことがある場合、通常よりもかなり注意深くする必要があるということです。一部のデータベースのデータは、サイバー犯罪者があなたになりすましてオンラインIDを盗むために必要なすべてのものを提供する可能性があります。さらに、彼らはそれを使用してあなたに関する詳細情報を見つけ、追加の攻撃を仕掛けることができます。
出会い系アプリを使用しているという事実に基づく脅迫の試みは、問題の外ではない場合があり、公開されたプレーンテキストのパスワードは、ほぼ確実にクレデンシャルのスタッフィング攻撃に使用されます 。