衝撃的なキーリングアプリのデータ漏洩により、1400万人のユーザーがアクセス
それでも深刻なデータリークはそれほど一般的ではないと思われる場合は、考えを変えようとしている可能性があります。 1月に、Noam RotemとRan Locarが率いる研究者のチームは、大量の情報を公開していたAWS S3バケットの設定が適切ではないことを発見しました。残念ながら、 vpnMentorに関する記事で、エキスパートは、当時は他のデータリークの報告に忙しかったため、問題をすぐに調査し、暴露の責任者に通知することができなかったことを認めました。彼らがようやくこの特定のリークに取り掛かったのは、約1か月後のことでした。
サービスプロバイダーは、クラウドストレージソリューションが提供するセキュリティメカニズムを把握するのに苦労しており、リークは左、右、中央に現れます。専門家は追いつくことができず、いつものように、無防備なユーザーは結果に耐えなければなりません。この場合、潜在的な結果は莫大でした。
キーリングアプリは、ユーザーのデジタルウォレットを全世界に公開します
研究者が見つけた最初のバケットには、なんと4,400万枚の画像が含まれていました。それは大量のデータですが、本当に衝撃的な部分は公開された情報の性質です。調査する時間を見つけると、研究者は、誤って構成されたS3バケットがキーリングに属していることに気付きました。これは、とりわけ、ウォレットのコンテンツのほとんどをデジタル化するオプションを提供するモバイルアプリケーションです。会員カードやギフトカードのような思考の仮想コピーを撮影して保存できます。アプリを使用する1400万人の一部は、クレジットカードのスキャンと個人ID文書もアップロードしています。彼らがそれをしている間、おそらく彼らは彼らのデータが安全に保存されるだろうと考えました。彼らは間違っていました。
誤って設定されたS3バケットには、クレジットカード、メンバーシップカード、ポイントカード、医療用大麻カード、運転免許証、およびその他の身分証明書のスキャンが含まれていました。画像は完全にクリアテキストで保存され、世界中のどこからでもアクセスできました。リークがユーザーに与える影響がすでに明らかです。残念ながら、それで終わりではありませんでした。
キーリングの誤って構成されたS3バケットが大量の個人情報を漏洩
同じバケットで、研究者たちは数百万人に属する個人を特定できる情報(PII)を含むCSVファイルをいくつか見つけました。これらの人々はウォルマートなどのキーリングパートナーのメンバーシップリストにあり、リストには名前、住所、生年月日などの個人情報が無数に含まれていました。
もう少し詳しく調べた後、Noam RotemとRan Locarのチームは、キーリングに関連付けられた、誤って構成された4つのS3バケットを見つけました。それらにはアプリのデータベースの古いスナップショットが含まれており、とりわけユーザーのメールアドレスと自宅のアドレス、IP、デバイス情報などが公開されていました。データベースにはパスワードも保持されており、研究者によると「暗号化」されていました。残念ながら、それらをスクランブルするメカニズムは不明のままです。
また、露出したデータを見つけたのが研究者だけだったかどうかも不明です。 2月18日、彼らはようやくキーリングとアマゾンに連絡を取り、2日後、バケットはオフラインになりましたが、現時点では、そもそもいつ彼らが配置されたかはわかりません。残念ながら、情報は比較的迅速に保護されましたが、事件に対するキーホルダーの態度は模範的であることはほとんどありません。
このようなリークが発生した場合、ユーザーは、何が起こったか、何に注意する必要があるかを通知する個別の通知を受け取ることを期待します。一方、一般市民は、ベンダーからの公式発表を期待しています。これには、インシデントの詳細と、再発しないようにするために講じた予防策も記載されています。キーリングでは、これらのことはどちらも見たことがありません。
公開されたデータの量は、公式な応答がないことと相まって、1400万人すべてのキーリングユーザーが影響を受けていると想定する以上のことはできません。あなたがそのうちの1人である場合、特に機密データをアプリに保存している場合は、通常よりもはるかに注意する必要があります。