キノマップはひどいデータベース管理のために情報を漏らす最新のアプリです
コロナウイルスのパンデミックとそれによって私たちに強いられた封鎖を生き抜くことは容易ではありませんが、それについて不平を言い始めようと誘惑されたと感じる人は、それがはるかに悪化した可能性があることを忘れてはなりません。テクノロジーのおかげで、以前は外出を必要としていた多くのことが、今では自分の家で快適に行うことができます。キノマップのようなアプリは、家を離れることなく体調を保つのにも役立ちます。これは、現在の状況を考えると特に重要です。
残念ながら、追加の便利さはそれ自身の一連の問題を引き起こします。サイバーセキュリティはその1つであり、悲しいことに、私たちはそれについてあまり考えていません。 vpnMentorの研究者は、なぜこれにもっと注意を払うべきなのかを示しました。
キノマップは、保護されていないデータベースに4,200万以上のレコードを残しました
Noam RotemとRan Locarが率いるvpnMentorの研究チームは、IPアドレスのブロックをスキャンし、正しく構成されていない接続デバイスを見つけるWebマッピングプロジェクトを思い付きました。調査はしばらく前から続いており、その結果、かなりの数のデータリークが発見および修復されました。前述のキノマップは、研究者の視界に入るための最新のアプリケーションです。
先月、彼らはパスワードで保護されていない40GBのデータベースを発見しました。一目見ただけで、キノマップが収集した情報を見ていることを研究者に知らせ、さらに詳しく調べたところ、約4200万人のユーザーの個人情報が含まれていることがわかりました。
確かではありませんが、vpnMentorの専門家は、これがKinomapのユーザーベース全体かもしれないと考えています。影響を受ける個人は世界中に広がっており、自宅のワークアウトアプリは個人に関するかなりの情報を公開しているため、特に注意する必要があります。漏洩した詳細の中で、研究者らは次のことを発見した。
- お名前
- キノマップのユーザー名
- メールアドレス
- 母国
記録には、アプリの使用方法に関するテレメトリー情報と、個人アカウントへのリンクも含まれていました。これと上記のデータを組み合わせることで、ハッカーは高度なフィッシング攻撃を仕掛ける可能性があります。
一部の記録では、専門家は、攻撃者がアカウント全体を乗っ取ることができるAPIキーを発見しました。
Kinomapの開発者は、インターネットに接続されたデータベースを誤って構成する最初の人ではありません。おそらく、最後になるわけではありません。このような場合、サービスプロバイダーとソフトウェアベンダーが自分の過ちを認め、それらから学ぼうとすることが重要です。しかし、キノマップの担当者は別のアプローチをとっています。
Kinomapは、誤って構成されたデータベースについてコメントしないことを好む
vpnMentorの専門家は、3月16日にキノマップの誤って構成されたデータベースを最初に発見し、数日後、彼らは開発者と連絡を取ろうとしました。 2週間足らずの間何も聞かなかった後、彼らは3月30日にリークを開示するための別の試みを行いました。 CNIL)、キノマップの開発者がいる国、フランスのプライバシー規制機関。 4月12日、ついにデータベースが停止し、研究者たちはこれはおそらくCNILの関与によるものだと考えています。
ソフォスのLisa Vaas が Kinomap に連絡すると、アプリの開発者がついに対応しました。同社は、この脆弱性について通知を受けた後、「すぐに」この脆弱性を修正したと述べています。 EUの一般データ保護規則(GDPR)を施行する機関は、キノマップの作成者の反応が適切であったかどうかを判断する必要があります。