「露骨で性的な性質」の画像を含む、数十万件のデリケートな出会い系アプリのプロフィールがオンラインで公開され、偶然見つけた人がダウンロードできる状態になった。
今週、vpnMentor から制御不能なデータ流出の情報が飛び込んできた。同社は、誤って設定された AWS S3 バケットに 845GB のプライベート出会い系アプリのレコードが含まれていたと主張している。
流出したデータには、多くが生々しく性的な内容の写真、プライベートなチャットや金融取引の詳細、音声録音、限られた個人を特定できる情報が含まれており、同社は、人々を脅迫するのに十分なデータを発見したと考えていると付け加えた。
「この侵害により、アプリの潜在的に数百万人のユーザーが危険にさらされただけでなく、安全でない管理者の認証情報とパスワードを通じて、さまざまなアプリのAWSインフラストラクチャ全体が危険にさらされた」とvpnMentorの研究者は書いている。
率直に申し訳ないのですが…AWS S3ストレージバケットの公開により、3万人のマリファナ常用者のプライバシーが煙のように消え去りました
続きを読む
押収されたデータには数十万件のユーザーデータが含まれていると推定され、すべて認証なしでインターネット上に公開されていました。vpnMentorは、この数字は数百万人に上る可能性があると推定しています。
このストレージサイロは、9つのニッチな出会い系アプリで使用されていました。その中には、シュガーダディとシュガーベイビーを結びつけ、贈り物や現金で経済的支援を行うSugarDも含まれています。プラスサイズで毛深いゲイ男性をターゲットにしたGay Daddy Bearも、漏洩したと伝えられています。また、説明不要だが別の意味で不可解なHerpes Datingのデータも公開されました。
誰がこれらのアプリを開発し、バケットの設定ミスという運命的な決断を下したのかは不明ですが、vpnMentorはこれら9つのサービスに共通の開発者がいるのではないかと推測しています。誰が責任を負ったにせよ、彼らはAmazon Web ServicesがS3の顧客にクラウドホストデータへのアクセス制御と制限に関して定期的に送信している警告を無視したのです。
アプリのユーザーにとって、研究者らがウェブサイトの1つに不正アクセスのリスクについて通知した翌日の5月27日にバケットがオフラインになったという事実は、いくらか慰めとなるだろう。®
