保護されていない出会い系サービスデータベースが個人データを漏らす
オンラインサーバーで公開されている別のデータベースがハッキングされ、ユーザーの個人データが漏洩しました。問題のデータベースは出会い系サイトに属し、Elastisearchサーバーで実行されていて、パスワードで保護されていませんでした。データベースが公開されたという発見は、2020年8月下旬にvpnMentorのセキュリティ研究者によって行われました。
セキュリティ研究者がデータベースの所有者に連絡した後、すぐに削除されましたが、それはデータベースが確実にリークしなかったことを意味しません。 障害のあるデータベースには、合計で880ギガバイトを超えるプッシュ通知ログファイルが保存されていました。ログファイルには、過去4日間に生成された6,600万件の通知の詳細と、数十万人のユーザーの個人情報が含まれていることがわかりました。
データベースを操作する出会い系サービスアグリゲーターは、70以上の出会い系サイトからの通知を保存していました。通知の多くはスパムであるように見え、メッセージにはアジアや東ヨーロッパなどの世界の一部からパートナーを見つけるように男性に勧めている。システムがセットアップされた方法、新しい通知は、想定される女性が人々をサービスに誘惑するようにメッセージを送ったことをユーザーに警告しました。
個人を特定できるユーザー情報の公開
これらはすべてユーザーの同意を得て行われましたが、問題は多くの個人情報が含まれていたことです。データベースは単に通知自体を格納するだけでなく、ユーザーの個人的な詳細を含む「デバッグ」データとしてフラグが立てられたチャンクも含んでいました。ログ内の個人を特定できる情報には、名前、電子メール、性別、地理位置情報、IPアドレスデータが含まれていました。
さらに悪いことに、通知の文字列には、ユーザープロファイルへのリンクと認証キーも含まれていたため、悪意のあるユーザーがユーザーパスワードを必要とせずにプロファイルに無制限にアクセスできる可能性があります。保護されていないデータベースを入手した可能性のあるユーザーは誰でも、サービスを介して送信されたプロファイルや過去のメッセージなど、大量のユーザー情報にアクセスする可能性があります。
特に出会い系サイトやサービスに関連する個人情報の漏えいは、恐喝や恐喝の試みなど、関係者に多大なトラブルを引き起こす可能性があります。