何千人ものPhotoSquaredユーザーがデータ侵害に直面している
ご存知の方もいらっしゃるかもしれませんが、Noam RotemとRan Locarは、VPN Mentorの研究者チームを率いており、機密情報を漏洩する不十分に保護されたデータベースを発見して保護するために設計された大規模なWebマッピングプロジェクトを担当しています。過去数か月間、彼らは多数の大規模なデータ侵害を報告し、企業がユーザーのデータを保護するのに十分な頻度を持たないことを実際に示してきました。 RotemとLocarは、誰が情報を漏らしているのかを見つけるには、多くの場合、調査に多くの労力と労力を要することを認めています。しかし、最近の発見では、そうではありませんでした。
ポートスキャンセッション中に、RotemとLocarのチームは、パブリックにアクセス可能で、パスワードで保護されていないAWS S3バケットを発見しました 。 95GB未満のデータを保持し、その所有者の名前はURL-PhotoSquaredで入手できました。
PhotoSquaredとは何ですか?
PhotoSquaredの機能を知っていれば、リークの範囲を理解できる可能性が高くなります。それは、写真開発者の店に対する21世紀の答えの1つになりたいと考えています。物理的な場所に行って印刷したい写真を手動で渡すのではなく、モバイルアプリを使用して、カメラロールまたはソーシャルメディアフィードからお気に入りのスナップを選択するだけです。後でオンライン支払いを行うと、PhotoSquaredは写真を8 "x 8"ボードに印刷し、あなたの住所にポストバックします。これは非常に便利に聞こえるので、おそらく10万人以上がGoogle Playからアプリをダウンロードしているのでしょう。ただし、ビジネスモデルは、誰かがどこかで、多数のユーザーの個人的な詳細やお気に入りの写真を処理することを任されていることを意味します。悲しいことに、誰かが非常に良い仕事をしなかった。
誤って設定されたS3バケットは、数十万人のユーザーの写真と個人情報を漏らします
データベースのサイズは、データベースの内容に関してはかなり良いものでした。彼らがそれを開いたとき、Noam RotemとRan Locarは、以下を含む約100万件のレコードを見つけました。
- 編集および印刷用に準備されたユーザーの写真
- PDFドキュメントとして保存された注文記録と領収書
- ラベルと配送情報
- ユーザー名
- 自宅と配送先住所
リークの影響を受けている人の数を言うことは困難ですが、研究者は、データベース内の情報は2016年11月から2020年1月の間に収集されたと指摘しました。専門家も指摘したように、潜在的な影響は非常に怖いです。
個人の写真と個人情報(自宅の住所を含む)の組み合わせは、潜在的な強盗にターゲットの生活についてのかなり良い洞察を与える可能性があります。これに加えて、漏洩した詳細は、追加の偵察およびさらなる犯罪行為の開始点として機能する可能性があります。
RotemとLocarは、1月30日に保護されていないバケットを発見し、2月4日にアプリの開発者に連絡しました。公開されたデータを悪用しているという証拠はありません。つまり、誰もが教訓を学んだことを期待する以上のことはできません。
この事件は、PhotoSquaredのようなアプリが私たちの生活に健康と便利さをもたらしますが、それらを使用することは非常に機密性の高い個人情報の多くを信頼することを意味するという非常に長い一連の厳しいリマインダーの次です。これは、[インストール]ボタンを押す前に覚えておく必要があるものです。
違反は、これらのアプリの開発者に、数十万人のデータを処理することが大きな責任であることを思い出させる必要があります。 PhotoSquaredのような単純な設定ミスは完全に耐えられないはずです。