匿名性を約束するソーシャルメディアアプリWhisperが9億のユーザーレコードを公開
WhisperとFacebookやTwitterなどのより一般的なソーシャルメディアプラットフォームの違いは、個人情報を入力する必要がないことです。代わりに、ユーザー名を選択し、自分の年齢を指定するだけで、自由に考えを共有できます。これはソーシャルネットワークであるため、他の人々はそれらを見ることができますが、誰がそれらを書いたかはわかりません。
Table of Contents
Whisperは、保護されていないデータベースに9億のユーザーレコードを残しました
匿名性が約束されているため、ユーザーは通常公開を避けたいものを投稿することをお勧めします。また、ウィスパーを使用することで、「インターネット上で最も安全な場所」で最も深い秘密を共有していると言われます。 アプリの公式WebサイトがデフォルトでHTTPSではなくHTTPを介して読み込まれると考えると、それはやや奇妙に聞こえる大胆な主張です。同じアプリケーションがデータベースを残し、9億以上のユーザーレコードがインターネットに公開されていることに気付くと、さらに奇妙になります。
この発見は先週、Twelve Securityの研究者によって行われました。 5TB Elasticsearchクラスターは、インターネットに接続しているすべてのユーザーがアクセスでき、パスワードで保護されていませんでした。また、そこに含まれる情報の一部は、2012年のウィスパーの発売にさかのぼります。
データ漏洩は深刻でしたか?
データベースを発見した直後に、12人の専門家はFBIとワシントンポストに連絡しました。 Postは、アプリケーションの開発者であるMediaLabとの連絡を助け、月曜日にはデータベースがオフラインになりました。比較的迅速な反応にもかかわらず、MediaLabは、リークについてあまり心配する必要はないと主張しました。
ワシントン・ポストに話をした代表者によると、ユーザーはとにかくウィスパーアプリ内でほとんどのデータを共有することを快く決めていたため、それは起こるはずはなかったが、その露出はそれほど大したことではなかった。リークされた数百万のユーザー投稿について話していましたが、彼らの主張は、リークがユーザーの匿名性を差し迫った危険にさらすものではなかったということです。しかし、セキュリティの専門家は確信が持てませんでした。
漏れやすいデータベースには名前はありませんでしたが、個々のユーザーの年齢、性別、出身地、ニックネーム、およびグループメンバーシップが含まれていました。誰かがWhisperユーザーのIDを把握しようとしていた場合、そのデータは可能性を大幅に絞り込んでいた可能性があります。これと、影響を受けたユーザーの最後の既知の場所も明らかになったという事実を組み合わせると、リークされた投稿を実際の個人に結び付けることは不可能ではないことがわかります。 The Postのレポートの後、 The Registerは研究者とも連絡を取り、公開されたメタデータの範囲が当初の予想よりもさらに大きいことを認識しました。パスワードトークンもデータベースに含まれており、研究者はそれらを使用して、人々のアカウントにログインできることを確認しました。突然、問題はMediaLabの代表者があなたに信じさせるよりもはるかに大きいように思われました。 Whisperアプリに関するニュースを詳しくフォローしている皆さんにとって、これはちょっとしたデジャヴの瞬間かもしれません。
これは、ウィスパーに関するセキュリティ関連の最初の論争ではありません
2014年に、 ガーディアンの記者がウィスパーの本社に招待され、ニュースアウトレットとソーシャルメディアアプリケーション間の潜在的なパートナーシップについて議論しました。彼らがそこにいる間に、ユーザーが明示的にオプトアウトした場合でも、ウィスパーが人々の位置を追跡するメカニズムを備えていることを知りました。
報告書が発表された後、ソーシャルネットワークの代表者はすべての申し立てを否定し、英国の新聞の嘘を公表したと公に非難した。最終的に、その代表者は解雇され、追跡は明らかに停止した。
現在、MediaLabの従業員は、ニュース報道が示すほど悪いものではないことを一般の人々にもう一度説得しようとしています。状況の深刻さを軽視する。