オンラインでデータが漏洩するのは、非常によくあることです。しかし、頻繁に発生しているからといって、危険性が軽減されるわけではありません。特に、そのデータが特定のグループや興味関心に特化した多数の出会い系アプリから取得されている場合はなおさらです。
セキュリティ研究者のノアム・ロテム氏とラン・ロカー氏は5月24日、インターネットをスキャンしていた際に、Amazon Web Servicesの公開アクセス可能な「バケット」群を発見しました。それぞれのバケットには、3somes、Cougary、Gay Daddy Bear、Xpal、BBW Dating、Casualx、SugarD、Herpes Dating、GHuntといった、それぞれ異なる出会い系アプリからの膨大なデータが含まれていました。研究者らは合計845ギガバイト、約250万件のレコードを発見しました。これはおそらく数十万人のユーザーデータに相当します。彼らは本日、この調査結果をvpnMentorで公開しました。
情報は特に機密性が高く、性的に露骨な写真や音声録音が含まれていました。研究者らはまた、他のプラットフォームでのプライベートチャットのスクリーンショットや、アプリ内でユーザー同士が築いていた関係構築の一環としてやり取りされた支払いの領収書も発見しました。漏洩したデータには実名、誕生日、メールアドレスといった限定的な「個人を特定できる情報」が含まれていましたが、研究者らは、意欲的なハッカーであれば写真やその他の様々な情報を用いて多くのユーザーを特定できた可能性があると警告しています。データが実際に侵害されたわけではないかもしれませんが、その可能性は十分にありました。
「データの大きさと機密性の高さに驚きました」とロカー氏は語る。「この種のアプリには、恐喝や精神的虐待といった、個人情報を漏洩するリスクがつきものです。こうしたアプリのユーザーとして、アプリの外部の人間がデータを閲覧したりダウンロードしたりできるとは考えていません。」
研究者たちは、露出したS3バケットを追跡していくうちに、すべてのアプリが同じソースから来ているように見えることに気づいた。インフラはほぼ統一されており、アプリのウェブサイトのレイアウトもすべて同じで、多くのアプリのGoogle Playストアの開発元は「Cheng Du New Tech Zone」と記載されていた。最初の発見から2日後の5月26日、研究者たちは3somesに連絡を取った。翌日、短い返信が届き、すべてのバケットが同時にロックダウンされた。
WIREDは3somesとHerpes Datingに連絡を取り、Cheng Du New Tech Zoneにも連絡を取ろうとしたが、返答はなかった。
Equifax から Yahoo まで、データ セキュリティの過去、現在、未来、そして社会保障番号の問題について知っておくべきすべてのこと。
これはハッキングではなく、ずさんな方法で保管されたデータでした。研究者たちは、自分たちより先に漏洩した大量のデータを発見した人がいたかどうかは不明です。これがデータ漏洩の問題の核心です。誤ってデータにアクセスできるようにすることは、せいぜい取るに足らないミスですが、最悪の場合、ハッカーにデータ漏洩を簡単に手渡してしまう可能性があります。特にこの一連の出会い系アプリの場合、開発者がロックダウンする前に情報が盗まれた場合、ユーザーの安全に深刻な影響を与える可能性があります。多くの漏洩にはメールアドレスやパスワードなどのデータが含まれており、それだけでも十分に問題です。しかし、Ashley Madison、Grindr、Cam4などのサイトからデータが漏洩すると、ドクシング、恐喝、その他の深刻なオンライン虐待の可能性が生じます。今回のケースでは、Herpes Datingは誰かの健康状態を明らかにする可能性さえあります。
「本当に難しい状況です。性感染症の情報や動画といったデリケートなデータを安心してアプリにアップロードできるほど、私たちはアプリを信頼しているのでしょうか」と、デフコンのバイオハッキング・ビレッジのエグゼクティブディレクターであり、バイオメディカルセキュリティ研究者でもあるニーナ・アリ氏は語る。「これは、誰かの性的な健康状態を暴露する有害な方法です。恥ずべきことではありませんが、他人の性癖を嘲笑する方が楽なので、スティグマ(偏見)が生まれます。性感染症に関して言えば、このデータの暴露は、他の人が検査を受けたくないということを意味するでしょう。それがこの状況の大きな危険性です。」
AWSをはじめとするクラウドプロバイダーは、バケットがパブリックアクセス可能になっている場合にユーザーに繰り返し警告するメカニズムをますます追加しています。この問題はセキュリティ業界全体で広く認識されています。しかし、依然として情報漏洩につながるミスは数え切れないほどあります。
「これはAmazonの問題ではありません」とロカー氏は言う。「これらのアプリを開発した組織が設定を間違えたのです。そして、それはユーザーにとって危険です。大学生が、アプリの外部の誰かが自分の大学のシャツを着た写真を見つけて、それをまとめてしまうのではないかと心配する必要はないはずです。」
影響を受けたアプリのいずれかを使用している場合、研究者が発見する前にデータが盗まれた可能性から身を守るためにできることはあまりありません。漏洩したデータには特定のパスワードが含まれていなかったため、パスワードを変更してもあまり効果がない可能性があります。とはいえ、アカウントに強力で固有のパスワードを設定しておくことは、今のうちからしておくべきです。開発者が誰かに情報が盗まれる前にクラウドインフラをロックダウンしてくれたことを願いますが、もしデータが漏洩し始めたとしても慌てないでください。もし個人情報を晒されてしまった場合、影響を乗り切るための方法をいくつかご紹介します。
WIREDのその他の素晴らしい記事
- Signalと暗号化チャットを最大限に活用するためのヒント
- 外出して抗議できない?自宅でできる支援方法
- パンデミックは賃貸経済を変革している
- COVID-19の検査は高額だ。
- NSAのソーシャルネットワークをマッピングする秘密ツール
- 👁 脳はAIの有用なモデルとなるのか?さらに:最新のAIニュースもチェック
- 🎧 音に違和感を感じたら、ワイヤレスヘッドホン、サウンドバー、Bluetoothスピーカーのおすすめをチェック!
