企業が機密情報で満ち溢れたデータベースを広大なインターネット上に公開したまま放置するのは、あまりにもありふれたことです。しかし、その企業がアダルトライブストリーミングサービスを運営し、そのデータが氏名、性的指向、支払い履歴、メールやチャットの記録など7テラバイト、合計108億8000万件に及ぶとなると、その危険性はさらに高まります。
そのサイトとは、CAM4という人気のアダルトプラットフォームで、「無料ライブセックスカム」を宣伝しています。セキュリティレビューサイトSafety Detectivesは、Shodanエンジンで安全でないデータベースを検索した結果、CAM4がElasticSearchの本番データベースを誤って構成していたことを発見しました。その結果、大量の個人情報や、詐欺やスパム検出ログなどの企業情報を容易に見つけて閲覧できる状態になっていたのです。
「本番サーバーをパスワードなしで公開したままにしておくことは、ユーザーにとっても会社にとっても非常に危険です」と、漏洩を発見したSafety Detectivesの研究員アヌラグ・セン氏は語る。
ハック
まず第一に、ここで非常に重要な違いがあります。CAM4がハッキングされた、あるいは悪意のある人物がデータベースにアクセスしたという証拠はありません。だからといってハッキングされなかったわけではありませんが、これはAshley Madisonのような大惨事ではありません。銀行の金庫室の扉を開けっ放しにすること(悪いこと)と、強盗が実際に金を盗むこと(はるかに悪いこと)の違いです。
「チームは、氏名、住所、電子メール、IPアドレス、財務データなど、個人を特定できる情報が、SafetyDetectives社およびCAM4の社内調査員以外の何者によっても不正にアクセスされていないと疑いなく結論付けた」と同社は声明で述べた。
同社はまた、実際に特定できた可能性のある人数は、漏洩した記録の膨大な数よりもはるかに少ないと述べている。CAM4データベースを管理するSmart-Xのテクニカルディレクター、ケビン・クリーク氏によると、もし情報漏洩が発生していた場合、パフォーマーと顧客を合わせた93人の支払い情報と支払情報が漏洩していた可能性があるという。Safety Detectivesは、その数を「数百人」と推定している。
CAM4が犯したミスは、決して珍しいものではありません。ElasticSearchサーバーの不備は、これまで数え切れないほどの重大なデータ漏洩の原因となってきました。よくあるケースとしては、社内利用のみを目的としているにもかかわらず、誰かが設定ミスを犯し、パスワード保護のない状態でオンライン状態になってしまうことが挙げられます。「ElasticSearchインスタンスが無防備になっているのを何度も目にするのは、私にとってはよくあることです」と、長年にわたりデータベースの無防備化を発見してきたセキュリティコンサルタントのボブ・ディアチェンコ氏は述べています。「今回の件で唯一驚くべきことは、今回漏洩したデータです。」
そして、問題はそこにある。CAM4が漏洩したデータのリストは、驚くほど広範囲に及ぶ。Safety Detectivesが発見した制作ログは今年3月16日まで遡り、前述の情報に加え、出身国、登録日、デバイス情報、言語設定、ユーザー名、ハッシュ化されたパスワード、そしてユーザーと同社との間のメールのやり取りも含まれていた。
研究者らが発見した108億8000万件の記録のうち、1100万件には電子メールアドレスが含まれ、さらに26,392,701件にはCAM4ユーザーとウェブサイトシステムの両方のパスワードハッシュが含まれていた。
「問題のサーバーは、様々なソースからのログを集約するサーバーでしたが、機密情報ではないとされていました」とクライグ氏は語る。「93件のレコードがログに記録されたのは、問題のデバッグをしようとしていた開発者のミスによるもので、ログファイルにエラーが発生した際に誤ってそれらのレコードがログに記録されたのです。」
誰が影響を受けるのか?
正確な数字は不明ですが、Safety Detectivesの分析によると、CAM4の米国ユーザー約660万人が漏洩に関与していたと推定されています。また、ブラジルでは540万人、イタリアでは490万人、フランスでは420万人が漏洩に関与していました。この漏洩がパフォーマーと顧客の両方にどの程度影響を与えたかは不明です。
Equifax から Yahoo まで、データ セキュリティの過去、現在、未来、そして社会保障番号の問題について知っておくべきすべてのこと。
繰り返しますが、悪意のある人物が数テラバイトにも及ぶデータにアクセスしたという兆候は見当たりません。セン氏によると、CAM4の親会社であるGranity Entertainmentは、研究者からの連絡を受けてから30分以内に問題のあるサーバーをオフラインにしたとのことです。当初のミスを正当化するものではありません。しかし、少なくとも対応は迅速でした。
さらに、サイトと関連するデータの機密性にもかかわらず、特定の情報と実名を結びつけるのは実際にはかなり困難でした。「実在の人物と結びつくトークンや、身元を明らかにするものを見つけるには、ログを徹底的に調べなければなりませんでした」とディアチェンコ氏は言います。「もちろん、オンラインで公開されるべきではありませんでしたが、私が見た中で最も恐ろしい出来事というわけではありません。」
どれくらいひどいですか?
だからといって、すべてが完璧に大丈夫というわけではありません。もし誰かがそこまでの調査を行えば、性的嗜好を含め、個人に関する十分な情報を入手し、脅迫に利用できた可能性があります。より現実的なレベルでは、パスワードを使い回しているCAM4ユーザーは、クレデンシャルスタッフィング攻撃の直接的なリスクにさらされ、強力で固有の認証情報を使用していないアカウントが危険にさらされる可能性があります。
あるいはその逆を考えてみよう。CAM4 ユーザーの電子メール アドレスを持っていれば、以前のデータ侵害から関連するパスワードを見つけて、そのアカウントに侵入できる可能性が十分にあるとセン氏は言う。
漏洩したデータは、CAM4 を危険にさらす可能性もあった。特権のある詐欺やスパム検出情報は、潜在的な攻撃者に、それらの防御を回避する方法のロードマップを与えていた可能性がある。
クリーグ氏によると、CAM4はすでにデータ漏洩の再発を防ぐための対策を講じているという。「そもそもこのサーバーは外部に公開するIPアドレスを持つべきではありません」と彼は言う。「この種のサーバーへのアクセスを大幅に困難にするため、社内LANに移転する予定です。同時に、個人を特定できる情報など、保存すべきでないデータが一切保存されていないことを確認する予定です。」
データ漏洩は起こり得ます。情報漏洩は情報漏洩ほど深刻ではありませんが、これほど機密性の高い情報を扱う企業には、最低限の対策ではなく、あらゆる予防措置を講じて情報を保護するための責任があります。
このストーリーは、CAM4 の声明と Smart-X の Kevin Krieg 氏のコメントを追加して更新されました。
WIREDのその他の素晴らしい記事
- 宇宙はどのようにしてあなたを殺し、醜くしようとしているのか
- 島でのゲームをレベルアップさせる「どうぶつの森」 22のヒント
- 郵便投票の奇妙な党派的計算
- 飛行機はまだ飛んでいるが、コロナからの回復は厳しいものになるだろう
- 1918年と2020年のパンデミックに共通する視覚言語
- 👁 AIがCOVID-19の潜在的な治療法を発見。さらに、最新のAIニュースもお届けします
- ✨ ロボット掃除機からお手頃価格のマットレス、スマートスピーカーまで、Gearチームのおすすめ商品であなたの家庭生活を最適化しましょう
